開発者が偽の求人面接でマルウェアをダウンロードさせられる

サイバーセキュリティ会社Securonixは、偽の求人面接を口実にソフトウェア開発者をターゲットにした新たな社会工学的攻撃キャンペーンを発見しました。この攻撃は、Pythonベースのリモートアクセス型トロイの木馬（RAT）をダウンロードさせるものです。

観察された戦術に基づき、Securonixの脅威研究チームは「DEV#POPPER」としてこの活動を追跡しており、このキャンペーンが北朝鮮の脅威アクターに関連しているとされています。

「これらの詐欺的な面接中、開発者はしばしばGitHubなどの信頼できるソースからソフトウェアをダウンロードして実行するタスクを求められます。このソフトウェアには悪意のあるNode JSペイロードが含まれており、一度実行されると開発者のシステムが侵害されます」と、セキュリティ研究者のDen Iuzvyk、Tim Peck、Oleg Kolesnikovはブログ投稿で述べています。

しかし、脅威アクターの目的は、ターゲットを騙してシステム情報を収集し、ホストへのリモートアクセスを可能にする悪意のあるソフトウェアをダウンロードさせることです。

最初の段階では、GitHubからソフトウェア開発者のポジションを埋めるオファーとして偽装されたzipアーカイブが面接官（攻撃者）から面接者（この場合は開発者）に送信されます。このアーカイブには、README.mdとフロントエンドおよびバックエンドディレクトリを含む、見た目が正当なNode Package Manager（NPM）パッケージが含まれています。

開発者が悪意のあるNPMパッケージを実行すると、難読化されたJavaScriptファイル（「imageDetails.js」）がNodeJSプロセス（node.exe）を通じて「curl」コマンドを使用して実行されます。この悪意のあるスクリプトの目的は、外部サーバーから追加のアーカイブ（「p.zi」）をダウンロードすることです。

アーカイブの中には、次の段階のペイロードである隠されたPythonファイル（「.npl」）があり、これはRATとして機能します。オペレーティングシステムの設定によっては、このPythonファイルはユーザーから見えない場合があります。

RATが被害者のシステムでアクティブになると、感染したコンピュータからシステムおよびネットワーク情報を収集し、このデータをコマンド＆コントロール（C2）サーバーに送信します。送信される情報には、OSの種類、ホスト名、OSのリリースバージョン、OSのバージョン、ログインユーザーのユーザー名、およびMACアドレスとユーザー名をハッシュ化して生成されたデバイスの一意の識別子（uuid）が含まれます。

Securonixのアナリストによると、RATは以下の機能をサポートしています：

• ネットワーキングおよびセッション作成は、持続的な接続に使用されます。

• 特定の拡張子や除外するディレクトリに基づいてファイルをフィルタリングし、特定のファイルやデータを検索して盗むためのファイルシステム機能。

• システムシェルコマンドやスクリプトを実行するためのリモートコマンド実行、ファイルシステムをブラウズし、シェルコマンドを実行することができます。

• ドキュメントやダウンロードなどのさまざまなユーザーディレクトリからの直接FTPデータの流出。

• クリップボードおよびキーストロークのログ記録には、クリップボードの内容やキーストロークを監視し、流出させる機能が含まれます。

「社会工学を通じて発生する攻撃に関しては、特に求人面接のような緊張した状況では、セキュリティに焦点を当てたマインドセットを維持することが重要です」と研究者たちは付け加えました。

「DEV#POPPERキャンペーンの背後にいる攻撃者は、相手が非常に気が散っており、より脆弱な状態にあることを知ってこれを悪用しています。」

Securonixは、人々が特に注意を払い続けることを推奨しています。偽の求人は、しばしば人々をマルウェアに感染させるための餌として使用されます。

知らない方のために、2023年11月下旬、Palo Alto Networks Unit 42の研究者たちは、北朝鮮の国家支援の脅威アクターに関連する求人活動をターゲットにした2つの別々のキャンペーンを発見しました。

最初のキャンペーン「Contagious Interview」では、脅威アクターが雇用主を装い、ソフトウェア開発者を面接プロセスを通じてマルウェアをインストールさせるよう誘導しました。

一方、2つ目のキャンペーン「Wagemole」は、米国や世界の他の地域に拠点を置く組織での無許可の雇用を求め、財務的利益やスパイ活動の可能性を持っていました。