北朝鮮のハッカーが偽の企業と求人を使って暗号通貨を標的に

サイバーセキュリティ企業Silent Pushの研究者たちは、悪名高いラザルスグループ内のサブグループである「Contagious Interview」（別名「Famous Chollima」）として知られる北朝鮮の高度な持続的脅威（APT）グループによる洗練されたキャンペーンを発見しました。

この作戦は、米国に偽の暗号通貨企業を設立し、マルウェアを配布し、組織に侵入するための欺瞞的な求人面接手法を使用することを含んでいました。

主な発見

Silent Pushによると、ハッカーは偽の身元と住所を使用して、ニューメキシコ州のBlockNovas LLC、エンジェロパーエージェンシー、ニューヨークのSoftGlide LLCという3つのフロント暗号通貨企業を設立しました。エンジェロパーエージェンシーは米国では未登録です。

「この新しいキャンペーンでは、脅威アクターグループが暗号通貨コンサルティング業界の3つのフロント企業—BlockNovas LLC (blocknovas[.] com)、Angeloper Agency (angeloper[.]com)、SoftGlide LLC (softglide[.]co)—を使用して、‘求人面接の誘惑’を通じてマルウェアを広めています」とSilent Pushは詳細なブログ投稿で述べています。

これらの企業は、正当な暗号通貨コンサルティング会社を装い、無防備な暗号通貨求職者をマルウェアをダウンロードさせ、暗号ウォレットを侵害し、資格情報を盗むように仕向けるために作成されました。

偽の企業に加えて、求職者は偽の求人広告やLinkedInスタイルのプロフィールを通じて標的にされ、応募資料やオンボーディング文書を装ったマルウェアを含むファイルをダウンロードさせられました。

このキャンペーンで特定された3つのマルウェア株は、BeaverTail、InvisibleFerret、OtterCookieで、これらは以前に北朝鮮のサイバー部隊に関連付けられていました。これらのプログラムはデータを盗むことができ、感染したシステムへのバックドアアクセスを提供し、追加のスパイウェアやランサムウェアを使用したフォローアップ攻撃のための入り口として機能します。

Silent Pushによると、3つのフロント企業の中で最も活発なBlocknovasは、2025年4月23日に米国連邦捜査局（FBI）によって押収されました。サイトに掲示された通知には、このドメインを利用して偽の求人広告で人々を欺き、マルウェアを配布した北朝鮮のサイバーアクターに対する法執行行動の一環としてサイトが閉鎖されたと記載されています。

Astrill VPNや住宅プロキシなどのサービスを使用してインフラや活動を隠蔽するだけでなく、Contagious Interviewキャンペーンは、偽の従業員の信頼性を高めるために「Remaker AI」(remaker[.]ai)などのAIツールを使用して、3つのフロント暗号企業の信頼性を高めるための説得力のあるプロフィールを作成しました。

最後に、暗号攻撃の一環として、このキャンペーンはGitHub、求人リストサイト、フリーランサーウェブサイトなどのプラットフォームを大いに活用して、潜在的な被害者に到達し、悪意のあるソフトウェアを配布しました。

影響と推奨事項

北朝鮮のサイバー脅威が進化し続ける中、特に暗号通貨セクターにおいて、組織はこのキャンペーンがサイバーセキュリティ慣行における警戒を高める必要性を強調しています。

これらの洗練された攻撃から保護するために、組織は求職者に対して厳格な確認プロセスを実施し、対面またはビデオ面接を行い、徹底的なバックグラウンドチェックを行い、従業員に対して未承諾の求人オファーや面接のリスクについて教育する必要があります。

このキャンペーンの詳細な分析については、Silent Pushの完全なレポートをチェックしてください: Contagious Interview Front Companies.