ラザルス グループの偽コーディング テストの標的となった開発者
チャンスと危険の境界線が曖昧になっている世界では、就職面接でさえサイバー攻撃の標的になり得る。最近、サイバーセキュリティの専門家は、悪名高い北朝鮮の支援を受けた Lazarus Groupがソフトウェア開発者を狙った新たな悪質な活動の波を発見した。今回は、偽のコーディングテストを使って開発者を騙し、知らないうちにマルウェアをインストールさせている。何が起こっているのか、そしてどうすれば身を守ることができるのかを分析してみよう。
Table of Contents
新しい種類のサイバー脅威: 偽のコーディング評価
GitHub、LinkedIn、さらにはnpmやPyPIなどのプラットフォームで開発者として働いている場合は、自分に届くコーディングテストや求人には特に注意を払う必要があるかもしれません。有名なサイバー犯罪組織であるLazarus Groupは、偽の就職面接を利用して開発者を誘い込み、有害なPythonパッケージをダウンロードさせ始めました。この戦略は、2023年8月に始まったVMConnectと呼ばれる進行中のキャンペーンにまで遡ります。
仕組みは次のようになります。開発者は「仕事の機会」を求めてアプローチされ、コーディング チャレンジを完了するように求められます。すべてが正当なもののように見えますが、コーディング テストには開発者のシステムに侵入するように設計されたマルウェアが隠されています。
それらの動作とコードに潜む危険性
Lazarus Group は、 pyperclipやpyrebaseなどの正規の Python パッケージの改変版を使用して、悪意のある意図を隠蔽します。このマルウェアは、Python パッケージのファイル、具体的には__init__.py
ファイルと、対応するコンパイル済み Python ファイル (PYC) に隠れています。開発者がパッケージを実行すると、マルウェアはコマンド アンド コントロール (C2) サーバーに接続して、ユーザーに気付かれることなく、さらにコマンドを実行します。
さらに悪いことに、これらの悪意のあるパッケージは、迅速な対応を必要とする ZIP ファイルの形式で共有されることがよくあります。たとえば、あるコーディング テストでは、求職者に 15 分以内に Python コードの欠陥を修正するように求めました。この期限に間に合わせるために急いでいると、開発者が重要なセキュリティ チェックを省略してしまい、マルウェアが気付かれずにアクティブになりやすくなります。
本当のターゲット、ビッグネーム、大きなリスク
このキャンペーンの最も不穏な側面の 1 つは、Lazarus Group が Capital One や Rookery Capital Limited などの評判の良い金融機関になりすまして詐欺行為に説得力を持たせていることです。LinkedIn での最初の会話の後、開発者はコーディング テストを装ったマルウェアを含む ZIP ファイルを受け取ります。macOS ユーザーの場合、このマルウェアはCOVERTCATCHとして識別されており、システム上に存続するように設計されたさらに悪意のあるソフトウェアをダウンロードする可能性があります。
これまでに何人の開発者が標的にされたかは不明だが、この手法はますます一般的になりつつある。Google のサイバーセキュリティ会社 Mandiant のレポートでは、こうした攻撃は LinkedIn での一見無害なチャット会話から始まり、マルウェアを仕込んだコーディングテストが続くことが多いと強調されている。
ラザルス・グループの広範なキャンペーンによる世界的な脅威
Lazarus Group はソフトウェア開発者だけにとどまりません。同グループはロシアと韓国を標的としたスピアフィッシング攻撃にも関与しています。コード名 CLOUD#REVERSER のこれらの攻撃は、追加のマルウェアをダウンロードするように設計された Windows ショートカット ファイルであるCURKONなどのマルウェアの配布につながっています。同グループは、感染したシステムをリモートから制御するために、 AsyncRATやLilith RATなどの RAT (リモート アクセス トロイの木馬) ツールも使用しています。
開発者が安全を保つ方法
- 求人オファーには疑いを持ちましょう:特に LinkedIn やその他のソーシャル メディア プラットフォームを通じてアプローチされた場合は、時間をかけてその会社と連絡してきた人物の正当性を確認してください。詐欺師は有名企業の採用担当者を装うことがよくあります。
- 実行前に必ずコードを確認してください:コーディング テストがいかに緊急に思えても、実行する前に少し時間を取ってソース コードを確認してください。ZIP ファイルを受け取った場合は、解凍する前にマルウェア対策ツールでスキャンしてください。
- 脅威についての最新情報を入手:サイバー犯罪者が使用する手法は常に進化しているため、最新情報を入手しておくことが重要です。サイバーセキュリティのニュースをフォローして、注意すべき点を把握してください。
- セキュリティ ツールを使用する: Python パッケージやその他のコーディング プロジェクトに隠された悪意のあるスクリプトを検出してブロックできる信頼できるマルウェア対策ソフトウェアをインストールします。
警戒が鍵
Lazarus Group が偽のコーディング評価を使用してマルウェアを拡散したことは、サイバー犯罪者が攻撃においてより創造的になっていることを浮き彫りにしています。開発者、特に次の仕事に就きたいと考えている開発者は、主なターゲットです。しかし、ソースコードの確認、採用担当者の確認、セキュリティリスクの最新情報の入手など、いくつかの追加の予防策を講じることで、自分自身とシステムを保護することができます。