北朝鮮系とされる攻撃キャンペーン「Contagious Interview」が、開発者向けのOSS配布基盤を横断して悪意あるパッケージを公開していたと報告されています。今回の話題は、単に不正なライブラリが増えたというだけではありません。見た目は通常の開発補助ツールに近いまま、情報窃取や遠隔操作につながるコードを忍ばせ、さらに偽の会議リンクを使う誘導とも結びついている点が重要です。日本企業でも、開発端末・依存関係・開発者アカウント管理を一体で見直す必要があります。
The Hacker News:N. Korean Hackers Spread 1,700 Malicious Packages Across npm, PyPI, Go, Rust
この記事のポイント
影響のあるシステム
- npmで公開された dev-log-core、logger-base、logkitx、pino-debugger、debug-fmt、debug-glitz
- PyPIで公開された logutilkit、apachelicense、fluxhttp、license-utils-kit
- Goモジュールとして確認された github[.]com/golangorg/formstash、github[.]com/aokisasakidev/mit-license-pkg
- Rustで確認された logtrace
- Packagistで確認された golangorg/logkit
- 第2段階ペイロードは、ブラウザ、パスワードマネージャー、暗号資産ウォレットを主な標的とするインフォスティーラー兼RATと説明されています
- Windows向けの「license-utils-kit」経由の亜種は、シェル実行、キーロギング、ブラウザデータ窃取、ファイルアップロード、ブラウザ終了、AnyDesk展開、暗号化アーカイブ作成、追加モジュール取得に対応すると報告されています
推奨される対策
- 社内リポジトリ、lockファイル、SBOM、CI/CD設定を確認し、記事で挙げられたパッケージ名が依存関係に含まれていないか調査する
- インストール時だけでなく、通常の関数呼び出し時に不正コードが動く可能性を前提に、利用中コードの実行経路と外部通信を点検する
- 開発端末でブラウザ保存情報、パスワードマネージャー、暗号資産ウォレットを扱っている場合は、漏えいの有無を確認し、必要に応じて認証情報の変更やセッション失効を進める
- Telegram、LinkedIn、Slack経由で届くZoomやMicrosoft Teamsの会議案内について、送信元とドメインを確認し、見慣れない会議リンクの利用を避ける
- 不審な会議リンク経由で端末が侵害された疑いがある場合は、Windows、macOS、Linuxを含めて通信先、永続化設定、追加モジュール取得、遠隔操作痕跡を確認する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- ソフトウェアサプライチェーン攻撃:開発者や利用企業が信頼して取り込むパッケージ、更新経路、配布基盤などを悪用する攻撃です。
- RAT:Remote Access Trojanの略で、感染端末を遠隔操作するためのマルウェアです。
- インフォスティーラー:認証情報、ブラウザ保存データ、ウォレット情報などの窃取を目的とするマルウェアです。
- ClickFix-like lure:利用者に問題解決操作を促し、その過程で不正な実行や侵害につなげる誘導手口です。
今回の件が深刻なのは、複数の開発言語圏をまたいで同じ狙いが続いているからです
今回報じられた事案では、もともと知られていたContagious Interviewという北朝鮮系とされる継続的な活動が、npmやPyPIだけでなく、Go、Rust、さらにPackagistを含むPHPの領域まで広がっていたとされています。重要なのは、攻撃者が単発で雑に不正パッケージを置いたのではなく、開発者が違和感を持ちにくい「ログ」「デバッグ」「ライセンス」関連の名称や機能説明を装いながら、複数のエコシステムで足場を広げている点です。記事では今回確認された具体的なパッケージ名が列挙されており、Socketの分析では、それらが正規の開発ツールを装うマルウェアローダーとして機能していたと説明されています。さらに、Socketは2025年1月以降、この活動に関連する悪意あるパッケージを1,700件超把握したとしています。開発組織にとっては、「特定の言語だけ見ればよい」という段階ではなく、依存関係管理そのものを横断的に監視すべき局面に入っていると考えられます。
見分けにくいのは、インストール時ではなく通常機能の中に不正処理が紛れているためです
今回のパッケージ群で特に厄介なのは、不正コードが露骨な初期化処理やインストール時スクリプトとして動くとは限らない点です。記事では、悪性コードはパッケージの見かけ上の目的に沿った関数の中へ埋め込まれており、たとえばRustの「logtrace」では「Logger::trace(i32)」のように、一見すると通常のロギング処理にしか見えない場所に仕込まれていたとされています。この構造だと、単純に「導入時に怪しい挙動がなかったから安全」と判断しやすく、レビューでも見逃される可能性があります。また、配布される第2段階のペイロードは、ブラウザ、パスワードマネージャー、暗号資産ウォレットを狙うインフォスティーラー兼RATとされ、Windows向けの「license-utils-kit」では、シェルコマンド実行、キーロギング、ブラウザデータ窃取、ファイルアップロード、ブラウザ終了、AnyDesk展開、暗号化アーカイブ作成、追加モジュール取得など、侵害後の操作がかなり深いところまで可能だと報告されています。これは単なる情報窃取にとどまらず、開発端末を起点にさらに被害を広げる余地を持つ脅威として捉えるべき内容です。
国内組織が直ちに確認したいのは、依存関係だけでなく開発者への誘導経路まで含めた防御です
今回の記事は悪意あるパッケージの話で終わっていません。報道では、これがより広い北朝鮮系のソフトウェアサプライチェーン侵害の一部だと位置付けられており、Axiosのnpmパッケージ汚染や、UNC1069に関連付けられた偽のZoom・Microsoft Teams会議リンクの運用にも触れています。Security Allianceは、2026年2月6日から4月7日までの間にUNC1069関連として164件のドメインをブロックしたとし、Telegram、LinkedIn、Slackを使った数週間単位の低圧なソーシャルエンジニアリングを説明しています。しかも、侵害直後に派手な行動を取るのではなく、端末上にインプラントを潜ませたまま、利用者が通常業務を続ける期間を利用して価値の高い情報を抜き取る運用が紹介されています。日本企業としては、パッケージ名の棚卸しだけでなく、開発者アカウントの保護、業務連絡で届く会議URLの検証、端末上のブラウザ保存情報やクラウド資格情報の扱い、そして侵害後の静かな滞留を前提とした監視強化までを一つの問題として見直すことが重要です。
参考文献・記事一覧
- The Hacker News
- Socket:Contagious Interview Campaign Spreads Across 5 Ecosystems
- Socket:North Korea’s Contagious Interview Campaign
- Security Alliance (SEAL):Advisory on DPRK (UNC1069) Fake Microsoft Teams and Zoom Calls
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
Hack The Box Business CTF 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
最新の投稿
2026.05.12開発者情報流出の懸念、Checkmarx攻撃とGitHubリポジトリ侵害の実態- 2026.05.11検知は速いのに防げない?「ポストアラートギャップ」が企業を危険にさらす理由
- 2026.05.10AIサプライチェーンに波及する脆弱性、MCPの構造的問題とは
- 2026.05.09Claude Mythosが変えるセキュリティ運用、企業が直面する修復プロセスの限界
