北朝鮮のハッカーによるマルウェア配信システムの発見
米国のサイバーセキュリティ企業によると、北朝鮮のハッカーが世界で最も広く使用されているソフトウェアライブラリの一つをマルウェアの配信システムに変えたという。先週の報告で、サプライチェーンセキュリティ会社Socketの研究者たちは、数百万の開発者がJavaScriptソフトウェアを共有・インストールするために使用する中央リポジトリであるnpmレジストリに、300以上の悪意のあるコードパッケージがアップロードされているのを発見したと述べた。
悪意のあるコードパッケージの仕組み
これらのパッケージは、ウェブサイトから暗号アプリケーションまで、あらゆるものに使用される再利用可能なコードの小さな部分であり、無害に見えるように設計されていた。しかし、ダウンロードされると、パスワード、ブラウザデータ、暗号通貨ウォレットの鍵を盗むことができるマルウェアがインストールされる仕組みだった。
Socketは、このキャンペーンを「Contagious Interview」と呼び、ブロックチェーン、Web3、および関連産業で働く開発者を標的にするために技術リクルーターを装った北朝鮮の国家支援ハッカーによる洗練された作戦の一部であると述べた。
npmの重要性と攻撃の影響
なぜ重要かというと、npmは本質的に現代のウェブのバックボーンであり、その妥協は攻撃者が無数の下流アプリに悪意のあるコードを滑り込ませることを可能にするからだ。セキュリティ専門家は、こうした「ソフトウェアサプライチェーン」攻撃がサイバー空間で最も危険なものであると警告してきた。なぜなら、正当な更新や依存関係を通じて目に見えずに広がるからである。
攻撃の手法と影響
Socketの研究者たちは、人気のライブラリであるexpress、dotenv、hardhatのスペルミスバージョンなど、似たようなパッケージ名のクラスターを通じてキャンペーンを追跡し、BeaverTailやInvisibleFerretとして知られる以前に特定された北朝鮮のマルウェアファミリーに関連するコードパターンを通じて追跡した。攻撃者は、メモリ内で隠されたペイロードを復号化して実行する暗号化された「ローダー」スクリプトを使用し、ディスク上にほとんど痕跡を残さなかった。
同社によれば、悪意のあるパッケージは約50,000回ダウンロードされたが、多くは削除される前に行われた。ただし、一部はオンラインに残っている。ハッカーはまた、米国サイバーセキュリティおよびインフラセキュリティ庁(CISA)によって文書化された以前のDPRKサイバー諜報キャンペーンと一致する戦術として、偽のLinkedInリクルーターアカウントを使用した。
セキュリティ対策と今後の課題
調査者は、最終的な標的はアクセス資格情報とデジタルウォレットを保持する機械であったと考えている。Socketの発見は、北朝鮮を数十億ドルに及ぶ暗号通貨の盗難に関連付ける他のセキュリティグループや政府機関の報告と一致しているが、妥協されたパッケージの正確な数など、すべての詳細の独立した検証は保留中である。
それでも、記述された技術的証拠とパターンは、平壌に帰属する以前の事件と一致している。
npmの所有者であるGitHubは、悪意のあるパッケージが発見された際に削除し、アカウント確認要件を改善していると述べている。しかし、研究者によれば、そのパターンは「ワック・ア・モール」のようなものであり、1セットの悪意のあるパッケージを排除すると、すぐに数百の新しいものがその場所に現れるという。
開発者や暗号スタートアップにとって、このエピソードはソフトウェアサプライチェーンがどれほど脆弱になっているかを強調している。セキュリティ研究者は、チームに対して、すべての「npm install」コマンドを潜在的なコード実行として扱い、プロジェクトに統合する前に依存関係をスキャンし、改ざんされたパッケージを検出するために自動化された審査ツールを使用するよう促している。
オープンソースエコシステムの強みである「オープンさ」は、敵がそれを武器化することを決定したときに最大の弱点となる。
