innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

開発者狙う詐欺キャンペーン、北朝鮮リンクの偽npmパッケージでPythonバックドア配布

Last Updated on 2024-04-27 21:37 by admin

ソフトウェア開発者を狙った社会工学キャンペーンが、偽のnpmパッケージを使用してPythonバックドアをダウンロードさせる詐欺を行っている。この活動は、北朝鮮の脅威アクターにリンクされており、セキュリティ企業SecuronixによってDEV#POPPERとして追跡されている。開発者は、GitHubなど正当に見えるソースからソフトウェアをダウンロードして実行するタスクを求められることが多く、このソフトウェアには開発者のシステムを侵害する悪意のあるNode JSペイロードが含まれている。

2023年11月下旬に最初に明らかになったこのキャンペーンは、脅威アクターが雇用者になりすましてソフトウェア開発者をマルウェアのインストールに誘う「Contagious Interview」としてPalo Alto Networks Unit 42によって詳細が報告された。さらに、2024年2月には、ソフトウェアサプライチェーンセキュリティ企業Phylumが、開発者のシステムから機密情報を抜き取る同じマルウェアファミリーを配布する悪意のあるnpmパッケージのセットをnpmレジストリ上で発見した。

これらの攻撃は、北朝鮮のLazarus Groupにリンクされている長期にわたる攻撃キャンペーン「Operation Dream Job」とは異なり、主にフリーランスのジョブポータルで偽のアイデンティティを使用して開発者をターゲットにしている。攻撃チェーンは、インタビューの一環として対象に送られる可能性のあるGitHub上にホストされたZIPアーカイブから始まり、ファイル内には悪意のあるJavaScriptファイルであるBeaverTailと、リモートサーバーから取得されるPythonバックドアであるInvisibleFerretを含むnpmモジュールが含まれている。このインプラントは、システム情報の収集、コマンド実行、ファイルの列挙と外部への送信、クリップボードとキーストロークのログ記録が可能である。

Securonixの研究者は、社会工学を通じて発生する攻撃に対して、特に仕事の面接のような緊張とストレスの多い状況でセキュリティに焦点を当てた考え方を維持することが重要であると述べている。DEV#POPPERキャンペーンの背後にいる攻撃者は、相手が非常に気を取られやすく、より脆弱な状態にあることを悪用している。

【ニュース解説】

ソフトウェア開発者を狙った新たな社会工学キャンペーンが発覚しました。このキャンペーンでは、偽のnpmパッケージを使用して開発者にマルウェアをダウンロードさせる手口が採用されています。この活動は、北朝鮮の脅威アクターによるものとされ、セキュリティ企業SecuronixによってDEV#POPPERと名付けられて追跡されています。開発者は、仕事の面接という形で誘い出され、GitHubなど正当に見えるソースから悪意のあるソフトウェアをダウンロードして実行するよう求められます。このソフトウェアには、開発者のシステムを侵害する悪意のあるNode JSペイロードが含まれています。

このキャンペーンは、2023年11月下旬に最初に明らかにされ、その後2024年2月には、ソフトウェアサプライチェーンセキュリティ企業Phylumが、開発者のシステムから機密情報を抜き取るために同じマルウェアファミリーを配布する悪意のあるnpmパッケージのセットを発見しました。

この攻撃は、北朝鮮のLazarus Groupにリンクされている「Operation Dream Job」とは異なり、主にフリーランスのジョブポータルを通じて開発者をターゲットにしています。攻撃チェーンは、インタビューの一環として対象に送られるGitHub上にホストされたZIPアーカイブから始まり、その中には悪意のあるJavaScriptファイルであるBeaverTailと、リモートサーバーから取得されるPythonバックドアであるInvisibleFerretを含むnpmモジュールが含まれています。このインプラントは、システム情報の収集、コマンド実行、ファイルの列挙と外部への送信、クリップボードとキーストロークのログ記録が可能です。

このような社会工学を通じた攻撃は、特に仕事の面接のような緊張とストレスが高まる状況下で、セキュリティに対する意識を高く保つことが重要です。攻撃者は、対象者が気を取られやすく、脆弱な状態にあることを利用しています。

このキャンペーンの発覚は、ソフトウェア開発者だけでなく、一般のインターネットユーザーにとっても、信頼できるソースからのダウンロードであっても、ソフトウェアをインストールする際には十分な注意が必要であることを改めて示しています。また、企業や組織においては、従業員のセキュリティ教育を強化し、特に新しい形態の社会工学攻撃に対する警戒を促す必要があります。長期的には、このような攻撃の検出と防御のための技術的な対策の開発と改善が求められます。

from Bogus npm Packages Used to Trick Software Developers into Installing Malware.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 開発者狙う詐欺キャンペーン、北朝鮮リンクの偽npmパッケージでPythonバックドア配布

Latest News