Ravie Lakshmanan2026年7月17日Social Engineering / Malware

北朝鮮の脅威アクター(Contagious Interviewキャンペーンに関連)は、SVG画像ファイルにステガノグラフィを用いて悪意あるペイロードを隠し、偽の求人投稿やコーディング課題を利用したキャンペーンを展開している。

「プロジェクトを実行したユーザーは、OTTERCOOKIEに準拠した4段階のペイロードに感染した:ブラウザの認証情報と暗号資産ウォレットを盗むもの、ファイル窃取ツール、Socket.IOベースのリモートアクセス型トロイの木馬(RAT)、クリップボード窃取ツールだ」とElastic Security LabsはThe Hacker Newsと共有した報告書で述べている。

この発見は、再び朝鮮民主主義人民共和国(DPRK)と連携する国家支援型ハッカーがソフトウェア開発者を標的にし、機密データの窃取と暗号資産ウォレットの略奪を狙っていることを強調する。この活動はREF9403という呼称で追跡されている。

オランダの企業向け検索・可観測性プラットフォームのサイバーセキュリティ部門は、脅威アクターが自社のコミュニティSlackワークスペースのメンバーを標的にし、架空の求人オファーを用いたソーシャルエンジニアリングの誘いをかけたことでこのキャンペーンを発見した。これは、2022年12月以降継続している高度なソーシャルエンジニアリング作戦「Contagious Interview」に関連する攻撃ではこれまで文書化されていなかった、新たな初期アクセス経路を示している。

2026年5月下旬に「Maxwell」というユーザー名で#jobs Slackチャンネルに投稿されたメッセージは、Next.js(v14)、NestJS、PostgreSQL、Auth.jsを使った「モダンでスケーラブルなアーキテクチャ」へのeコマースプラットフォームのアップグレードとStripe統合を支援する経験豊富な開発者を募集する内容だった。

Cybersecurity

この機会に関心を示した人は、ダイレクトメッセージに移動し、求人プロセスの一部としてコーディング評価を完了するよう指示された。これはContagious Interviewキャンペーンで観察される標準的な手口である。課題には、貴重なデータを外部に送信し、Socket.IOバックドアを設定するよう設計されたトロイの木馬化されたリポジトリの実行が含まれていた。

具体的に、このスキームの一部として配布されたリポジトリには完全に機能するコードが含まれている一方、検知を回避するためにSVG画像内に悪意あるコードを埋め込んでいる。

「これらの見た目上は正当なプロジェクトは完全に正常に動作するが、悪意あるコードは裏側で静かに起動する」とElasticは述べている。「ペイロードは、assetsディレクトリ内のすべてのSVG国旗画像のHTMLコメント内にBase64断片として分割されている。これらのファイルは通常の国旗画像(AE.svg、AF.svg)のように見えるが、各ファイルにはBase64エンコードされたデータを含むコメントブロックが挿入されている。」

ペイロードはリポジトリに存在するJavaScriptファイル("serverValidation.js")によって組み立てられる。攻撃チェーンは、マルウェアがサーバーの起動ごとに実行されるよう設計されている。Elasticによると、メインペイロードは2024年9月に初めて登場したクロスプラットフォームマルウェアOtterCookieと重複している。

OtterCookieは「リモートコマンドの実行や暗号鍵の検索を行う基本的なツールから、VM環境の検知、socket.ioなどの通信クライアントのインストール、情報窃取、任意のシェルコマンド実行、特定のデータを収集する他のモジュールの読み込み、結果の報告など、より広範なデータ窃取が可能なモジュール型プログラムへと進化した」とMicrosoftは3月に指摘している。

Cybersecurity

このマルウェアには、Webブラウザや暗号資産ウォレットからデータを収集し、特定の拡張子に一致するファイルを収集し、Socket.IOベースのトロイの木馬を使って永続的なリモート制御を実現し、シェルコマンドを実行し、クリップボードの内容をキャプチャし、Windows実行ファイルをドロップする4つの異なるモジュールが含まれている。

OtterCookieが収集するファイルには、.claude、.cursor、.gemini、.windsurf、.pearai、.llamaといった人工知能(AI)コーディングツールの拡張機能が含まれており、脅威アクターが可能な限り多くの情報を収集するために兵器庫を積極的に洗練させていることを示唆している。

また、このマルウェアはRollupポリフィルツールを装った偽のnpmパッケージを通じて配信されるデータ窃取ツールおよびトロイの木馬と機能的な重複も示しており、脅威アクターが複数の拡散経路を追求していることを示唆している。

「このキャンペーンは、開発者が依然として主要な標的であり、1人の個人の侵害が下流の組織に対する広範なサプライチェーン攻撃を可能にする初期アクセスを提供し得ることを改めて示している」とElasticは述べている。「これらの作戦の成功は、1人の開発者の侵害がより広範な組織への影響をもたらす道筋となり得ることを強調している。」

この記事が興味深かったですか? Google NewsTwitterLinkedInでフォローして、投稿する独占コンテンツをもっと読んでください。