サイバーセキュリティ企業Socketは2025年6月25日、北朝鮮の国家支援脅威アクター集団による「Contagious Interview」作戦の一環として、35の悪意あるnpmパッケージが発見されたと発表した。
これらのパッケージは24のnpmアカウントから配布され、合計4,000回以上ダウンロードされた。react-plaid-sdk、sumsub-node-websdk、vite-plugin-next-refresh、vite-loader-svg、node-orm-mongoose、router-parseの6つが現在もnpmから入手可能な状態にある。
各パッケージにはHexEvalと呼ばれる16進エンコードローダーが含まれ、インストール後にホスト情報を収集し、JavaScriptスティーラー「BeaverTail」を配信する。BeaverTailはPythonバックドア「InvisibleFerret」をダウンロード・実行し、機密データ収集とリモート制御を可能にする。
攻撃者はLinkedInでリクルーターを装い、求職中のソフトウェアエンジニアにコーディング課題を送付し、GitHubやBitbucketでホストされた悪意あるプロジェクトのリンクを共有する手法を用いている。
Contagious Interview作戦は2023年後半にPalo Alto Networks Unit 42によって初めて文書化され、暗号通貨とデータ窃取を目的とした継続的なキャンペーンである。
From: 
North Korea-linked Supply Chain Attack Targets Developers with 35 Malicious npm Packages
【編集部解説】
今回のContagious Interview作戦は、サイバーセキュリティ業界において極めて重要な転換点を示しています。従来のマルウェア配布手法とは一線を画し、開発者コミュニティが日常的に利用するnpmエコシステムを悪用した点が特筆すべき要素です。
この攻撃手法の巧妙さは、技術的な側面と心理的な側面の両方に現れています。HexEval、BeaverTail、InvisibleFerretという三段階のペイロード展開は、従来の静的解析ツールでは検出が困難な「マトリョーシカ構造」を採用しており、セキュリティ対策の盲点を突いています。
特に注目すべきは、攻撃者が求職活動という人間の基本的なニーズを悪用している点です。LinkedInでの偽リクルーター活動は、テクノロジー業界の転職文化そのものを武器化した手法といえるでしょう。これは単なる技術的脅威を超えて、業界全体の信頼関係に影響を与える可能性があります。
npmパッケージの命名戦略も非常に洗練されています。react-plaid-sdkやvite-plugin-next-refreshなど、実在する人気ライブラリと類似した名称を使用することで、開発者の警戒心を巧みに回避しています。これは、オープンソースエコシステムの信頼性に基づいた開発文化への直接的な挑戦です。
Zscaler ThreatLabzの調査によると、2ヶ月間で140人以上の被害者が確認されており、その半数以上がWindowsマシンを使用していました。残りの半数はLinuxやmacOSなど非Windowsシステムを使用しており、JavaScriptやPythonなどのOS独立スクリプトを活用することで複数プラットフォームでの感染に成功していることが判明しています。
長期的な視点では、この事案は開発者の作業環境に根本的な変化をもたらす可能性があります。コンテナ化されていない環境での実行を要求する面接課題は、今後疑念の対象となるでしょう。また、npmパッケージの検証プロセスや、採用活動における技術的検証手法の見直しが業界全体で進むと予想されます。
Silent Pushの調査では、BlockNovas LLC、Angeloper Agency、SoftGlideLLCという3つの偽装企業が確認されており、これらの企業を通じて求人サイトやフリーランサープラットフォームでの活動が行われています。この組織的なアプローチは、単発的な攻撃ではなく長期的な戦略に基づいた活動であることを示しています。
【用語解説】
npm(Node Package Manager)
Node.jsのパッケージ管理システムで、JavaScriptライブラリやツールを配布・管理するプラットフォーム。開発者が作成したコードを世界中で共有できる仕組みを提供している。
HexEval
16進エンコードされたマルウェアローダー。インストール後にホスト情報を収集し、後続のペイロードを選択的に配信する機能を持つ。
BeaverTail
JavaScriptベースの情報窃取マルウェア。ブラウザの認証情報、暗号通貨ウォレット、キーチェーンデータなどを標的とし、Windows、macOS、Linuxで動作する。
InvisibleFerret
Pythonベースのバックドアマルウェア。リモート制御、キーロギング、ファイル窃取、クリップボード監視などの機能を持つ。
ClickFix
偽のセキュリティ警告やソフトウェア更新を装い、ユーザーを騙して悪意あるスクリプトを実行させるソーシャルエンジニアリング手法。
Famous Chollima
北朝鮮の国家支援APT集団の一つ。CL-STA-0240、Gwisin Gang、Lazarus Groupなど複数の名称で追跡されている。
サプライチェーン攻撃
ソフトウェアの開発・配布過程に悪意あるコードを挿入し、最終的なユーザーを標的とする攻撃手法。信頼されたエコシステムを悪用する。
Tropidoor
BeaverTailマルウェアによって配布される新しいWindows向けバックドア。Lazarus GroupのLightlessCan マルウェアで以前に確認されたコマンドを使用している。
【参考リンク】
Socket(外部)
オープンソースソフトウェアのサプライチェーン攻撃から企業を保護するサイバーセキュリティプラットフォーム
Palo Alto Networks(外部)
Unit 42脅威研究チームを擁し、先進的なファイアウォールとクラウドセキュリティソリューションを提供
GitHub(外部)
マイクロソフト傘下のソフトウェア開発プラットフォーム。2023年にユーザー数1億人を突破
Bitbucket(外部)
Atlassian社が運営するGitベースのソースコードリポジトリホスティングサービス
LinkedIn(外部)
2024年時点で10億人以上の登録ユーザーを持つ専門職向けプラットフォーム
Silent Push(外部)
脅威インテリジェンスとサイバーセキュリティ調査を専門とする企業
Zscaler(外部)
ThreatLabz研究チームによる脅威分析で知られるクラウドベースのセキュリティプラットフォーム企業
【参考動画】
【参考記事】
New wave of ‘fake interviews’ use 35 npm packages to spread malware(外部)
BleepingComputerによる同事案の詳細分析。パッケージの命名戦略とタイポスクワッティング手法について解説
Silent Push uncovered Contagious Interview front company(外部)
Silent Pushによる偽装企業BlockNovas LLCの詳細調査。インフラストラクチャ分析と被害者確認を含む包括的レポート
Pyongyang on Your Payroll: The Rise of North Korean Remote Workers in the West(外部)
Zscaler ThreatLabzによる140人以上の被害者分析。OS分布と地理的分散について詳細なデータを提供
On the rise: North Korean LinkedIn Scams and Malicious(外部)
LinkedInを悪用した北朝鮮の攻撃手法の進化について分析した記事。FlexibleFerretマルウェアの発見についても言及
Malicious npm packages, BeaverTail malware leveraged in new North Korean attacks(外部)
AhnLab Security Intelligence CenterによるBeaverTailマルウェアとTropidoorバックドアの技術的分析
【編集部後記】
今回の事案を受けて、皆さんの開発環境やnpmパッケージの利用方法について一緒に考えてみませんか。普段使用しているライブラリの信頼性をどのように判断されていますか?また、転職活動中に技術課題を受け取った際、どのような点に注意を払っているでしょうか。
私たちinnovaTopia編集部も、オープンソースエコシステムの恩恵を受けながら日々の業務を行っています。この攻撃手法の巧妙さに驚かされる一方で、開発者コミュニティ全体でセキュリティ意識を共有することの重要性を改めて感じています。皆さんの職場や開発チームでは、どのようなセキュリティ対策を実践されているのか、ぜひお聞かせください。
