北朝鮮系の攻撃グループが、正規のJSONストレージサービスを隠れ蓑にしてマルウェアを配布する手法へと戦術を進化させたと報告されています。攻撃者は、LinkedIn上で開発者に接触し、「デモプロジェクト」の名目で不正なコードを含むファイルを配布します。内部にはJSON Keeperなど外部サービスに偽装されたURLが埋め込まれ、次段階のマルウェアを取得します。こうした一連の攻撃手法は、開発者を狙う「Contagious Interview」キャンペーンの新たな展開とされています。
The Hacker News:North Korean Hackers Turn JSON Services into Covert Malware Delivery Channels
この記事のポイント
影響のあるシステム
- LinkedInなどを利用するソフトウェア開発者全般
- GitHub・GitLab・Bitbucket などコード共有サービスを利用する企業・開発者
- JSON Keeper、JSONsilo、npoint.io などクラウド型JSONストレージサービスを利用する環境
- JavaScriptベースのBeaverTail、PythonバックドアInvisibleFerretの潜在的標的となる端末
推奨される対策
- 外部から提供されたコードプロジェクトを即実行せず、内容を精査する
- 環境変数ファイル(.envなど)の不審なBase64文字列を確認する
- LinkedInなどでの不審な「スカウト」「技術チェック」依頼に注意する
- エンドポイントでのスクリプト実行監視・制限を強化する
- 正規サービスへのアクセスを装った通信をプロキシやEDRで検知する
この記事に出てくる専門用語
- BeaverTail:JavaScriptで作成された情報窃取型マルウェア。
- InvisibleFerret:BeaverTailが展開するPython製バックドア。
- TsunamiKit:追加のペイロードを取得するためのツールキット。
- Contagious Interview:開発者を対象とした北朝鮮系攻撃キャンペーンの名称。
正規サービスを悪用した攻撃手法の特徴と狙い
今回明らかになった攻撃手法の大きな特徴は、マルウェア配布経路として「正規サービス」を利用している点です。攻撃グループは、JSON Keeper、JSONsilo、npoint.io といった一般的なデータ保存サービスに不正ペイロードを隠し、さらに GitHub や GitLab などに置かれた「デモプロジェクト」からそれらを参照する仕組みを構築していると報告されています。特に注目すべきは、プロジェクト内の環境変数ファイルにBase64で難読化されたURLを埋め込む点で、これによりAPIキーのように見せかけながら実際は次段階のマルウェア取得先を示しているとされています。これにより、ネットワーク監視で発見されにくく、正規サービスを通じてペイロードを取得させることで、一般的な通信に紛れる形で活動を行っていると報告されています。
新旧マルウェアの組み合わせによる多段階の攻撃フロー
これは端末上の機密情報を窃取し、次段階として Python 製バックドア「InvisibleFerret」を展開すると報告されています。さらに、このInvisibleFerretは、追加のツール「TsunamiKit」をPastebinから取得するなど、攻撃基盤が段階的に拡張される仕組みとなっています。過去の調査では、TropidoorやAkdoorTeaといった他の不正ツールも併用されている例が確認されており、過去の調査では、Tropidoor や AkdoorTea など別のツールが併用された例も報告されており、状況に応じて複数のツールが投入されるケースがあるようです。これらのツールは、システム情報を収集し、追加ペイロードを取得するために利用されるとされています。
開発者や企業が注意すべきリスクと確認事項
開発者を対象とした攻撃であり、日常的に利用されるサービスが悪用される点が懸念されています。
特に、LinkedIn などを通じて開発者に接触する手法は国や地域を問わず確認されており、注意が必要です。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
