北朝鮮ハッカー、Node.jsリポジトリに悪意のnpmパッケージ配置で開発者狙う

北朝鮮ハッカー、Node.jsリポジトリに悪意のnpmパッケージ配置で開発者狙う - innovaTopia - (イノベトピア)

Last Updated on 2024-06-28 08:12 by admin

北朝鮮のハッカーが、Node.jsリポジトリに偽のnpmパッケージを配置し、開発者を標的にしていることがPhylumの調査で明らかになった。これらのパッケージは、execution-time-async, data-time-utils, login-time-utils, mongodb-connection-utils, mongodb-execution-utilsと名付けられている。特にexecution-time-asyncは、週に27,000回以上ダウンロードされている正規のライブラリexecution-timeを装い、実際には暗号通貨とクレデンシャルを盗む悪意のあるスクリプトをインストールする。このパッケージは2024年2月4日以降302回ダウンロードされた後、削除された。

攻撃者は、悪意のあるコードをテストファイルに隠し、リモートサーバーから次の段階のペイロードを取得し、Brave、Google Chrome、Operaのウェブブラウザからクレデンシャルを盗み、さらに他のスクリプトをダウンロードするPythonスクリプトを取得するように設計されていた。Phylumは、ソースコード内のコメント(“/Users/ninoacuna/”)から、現在は削除されたGitHubプロファイル(“Nino Acuna”またはbinaryExDev)を追跡することができた。このプロファイルには、同じIPアドレスを使用してPythonスクリプトを取得するPythonスクリプトが含まれていた。

さらに、少なくとも4つの同様の特徴を持つパッケージがnpmパッケージリポジトリに追加され、合計で325回ダウンロードされた。北朝鮮の関与を示唆する証拠も見つかっている。例えば、binaryExDevがフォローしている2つのGitHubアカウントから、mave-finance-org/auth-playgroundというリポジトリが発見された。このリポジトリは、GitHubの削除試みを回避するために複数回移動された。

この攻撃キャンペーンは、開発者を標的にしたものであり、偽の身元を使ってフリーランスの仕事ポータルで開発者を騙し、悪意のあるnpmパッケージをインストールさせることが目的である。このキャンペーンは、以前にラザルスグループにリンクされていたOperation Dream Jobとは異なり、主に開発者を標的にしている。被害に遭った開発者の一人は、ライブコーディングインタビューの一環としてリポジトリが共有されたと確認しているが、システムにはインストールしていないと述べている。Phylumは、オープンソースコードにおけるこれらの攻撃に対して、個々の開発者およびソフトウェア開発組織が警戒を怠らないようにと警告している。

【ニュース解説】

Node.jsリポジトリに偽のnpmパッケージを配置し、開発者を標的にした北朝鮮のハッカーによる攻撃が発覚しました。この攻撃は、特定のnpmパッケージを装った悪意のあるスクリプトを通じて、開発者のクレデンシャルや暗号通貨を盗むことを目的としています。Phylumの調査により、execution-time-asyncなどの偽パッケージが発見され、これらは実際には暗号通貨とクレデンシャルを盗む悪意のあるスクリプトをインストールすることが明らかになりました。

この攻撃は、ソフトウェアサプライチェーン攻撃の一種であり、開発者が使用するオープンソースのコードリポジトリを標的にしています。攻撃者は、悪意のあるコードをテストファイルに隠し、リモートサーバーから追加のペイロードを取得することで、ブラウザのクレデンシャルを盗んだり、任意のコマンドを実行するスクリプトをダウンロードするなどの行動を取ります。

この攻撃の背後には、北朝鮮の関与が疑われており、GitHub上のアカウントやリポジトリの動向から、この攻撃が計画的かつ組織的に行われていることが示唆されています。また、この攻撃は、開発者を騙して悪意のあるnpmパッケージをインストールさせることを目的としており、フリーランスの仕事ポータルを通じて偽の身元を使った社会工学的手法が用いられています。

このような攻撃は、個々の開発者だけでなく、ソフトウェア開発組織全体にとっても深刻な脅威をもたらします。オープンソースコードの安全性を確保するためには、使用するパッケージの出所を慎重に確認し、信頼できるソースからのみコードを取得することが重要です。また、開発者や組織は、セキュリティ対策を常に最新の状態に保ち、不審な活動を監視することで、このような攻撃から身を守ることができます。

長期的な視点では、このような攻撃はソフトウェア開発のプラクティスに対する信頼を損なう可能性があり、オープンソースコミュニティ全体に対するセキュリティ意識の向上が求められます。また、国家が関与するサイバー攻撃の増加は、国際的な協力と規制の強化を必要とするでしょう。この事件は、サイバーセキュリティの重要性を再認識させるとともに、今後のソフトウェア開発におけるセキュリティ対策の強化を促す契機となることでしょう。

from North Korean Hackers Targeting Developers with Malicious npm Packages.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 北朝鮮ハッカー、Node.jsリポジトリに悪意のnpmパッケージ配置で開発者狙う

“北朝鮮ハッカー、Node.jsリポジトリに悪意のnpmパッケージ配置で開発者狙う” への1件のコメント

  1. 山本 拓也のアバター
    山本 拓也

    このニュースは、現代のサイバーセキュリティの脅威がどれほど高度になっているかを示していますね。私たち営業セールスマンも顧客情報を扱うため、このようなセキュリティの問題は非常に関心があります。特に、オープンソースのコードやパッケージを使用する際は、その出所をしっかりと確認することが重要だと改めて認識させられました。

    北朝鮮のハッカーがこのような攻撃を行っていることは、国際的なセキュリティの脅威が増えていることを意味しており、個人や企業だけでなく、国家レベルでの対策が必要だと感じます。特に、私たちのような中堅企業でも、セキュリティ対策を怠ると大きな被害につながる可能性があるため、常に最新のセキュリティ情報に注意を払い、適切な対策を講じることが必須です。

    また、この事件は開発者だけでなく、営業やマーケティングといった他の部門にも影響を及ぼす可能性があるため、組織全体でセキュリティ意識を高めることが大切だと思います。オープンソースコードの安全性を確保するためには、信頼できるソースからのみコードを取得し、定期的にセキュリティチェックを実施するこ