Last Updated on 2024-06-14 05:53 by 門倉 朋宏
北朝鮮の新たに特定された脅威アクター「Moonstone Sleet」は、公開レジストリを通じて悪意のあるnpmパッケージの配布範囲を広げています。このグループは、オープンソースコードリポジトリを汚染することでソフトウェアサプライチェーンを脅かす活動を強化しており、他の国家支援グループとは異なる手法を採用しています。
Moonstone Sleetは、航空宇宙、教育、ソフトウェア組織および開発者を対象としたスパイ活動と金融サイバー攻撃を行っていることがMicrosoftによって明らかにされました。このグループは、LinkedInやフリーランサーウェブサイト上でリモート技術職に就職しようと試みる過程で、悪意のあるnpmパッケージを拡散しています。
CheckMarxの研究者たちは、Moonstone Sleetが開発者がアクセス可能な公開オープンソースパッケージリポジトリにこれらの悪意のあるパッケージを配置していることを発見しました。これにより、攻撃対象の範囲を拡大しています。
また、CheckMarxは、Moonstone Sleetが別の知られている北朝鮮のアクターであるJade Sleet(Lazarusとしてよりよく知られている)とは異なる構造とスタイルの悪意のあるコードパッケージを使用していることを発見しました。Moonstone Sleetは、インストール時に直ちにペイロードを実行する「シングルパッケージアプローチ」を使用しています。
このような悪意のあるnpmパッケージの公開は、オープンソースコミュニティに依存するソフトウェア開発にとって成長するリスクを示しています。攻撃者は、開発者がオープンソースレジストリに対して持つ信頼を悪用しています。しかし、ソフトウェアサプライチェーンの安全性を確保する主な責任は、これらのパッケージを消費する組織にあります。組織は、開発者にコードを提供する前に、パッケージ内のコードを悪意のある振る舞いについてスキャンする必要があります。
【ニュース解説】
北朝鮮による新たなサイバー攻撃グループ「Moonstone Sleet」が、公開レジストリを利用して悪意のあるnpmパッケージの配布を拡大していることが明らかになりました。このグループは、オープンソースコードリポジトリを通じてソフトウェアサプライチェーンを脅かすことにより、他の国家支援グループとは一線を画す活動を展開しています。
Moonstone Sleetは、航空宇宙、教育、ソフトウェア関連の組織や開発者をターゲットに、スパイ活動や金融サイバー攻撃を行っていることがMicrosoftによって報告されています。特に、LinkedInやフリーランサーサイトを通じてリモート技術職に応募し、その過程で悪意のあるnpmパッケージを拡散する手法が取られています。
CheckMarxの研究者たちは、Moonstone Sleetが開発者がアクセス可能な公開オープンソースパッケージリポジトリにこれらの悪意のあるパッケージを配置することで、攻撃対象の範囲を拡大していることを発見しました。この行動は、オープンソースエコシステムが強力で洗練された敵にとって主要な標的になっていることを示しています。
また、Moonstone Sleetは、インストール時に直ちにペイロードを実行する「シングルパッケージアプローチ」を採用しており、これは別の北朝鮮のアクターであるLazarusとは異なる手法です。Lazarusは、ペアで機能するパッケージを使用し、それぞれを別のnpmユーザーアカウントから公開することで、悪意のある活動をより検出しにくくしています。
このような攻撃は、オープンソースコミュニティにとって成長するリスクを示しており、開発者がオープンソースレジストリに対して持つ信頼を悪用しています。しかし、ソフトウェアサプライチェーンの安全性を確保する責任は、これらのパッケージを利用する組織にあります。組織は、開発者にコードを提供する前に、パッケージ内のコードを悪意のある振る舞いについてスキャンすることが重要です。
開発者や組織が情報を共有し、セキュリティコミュニティと協力してこれらの攻撃を特定し、阻止することで、より安全で安心なオープンソースエコシステムを目指すことができます。このような集団的な努力と予防策により、オープンソースコミュニティ全体の安全性とセキュリティを向上させることが可能です。
from North Korea's Moonstone Sleet Widens Distribution of Malicious Code.
