ReversingLabsは8月31日(米国時間)、「VMConnect supply chain attack continues, evidence points to North Korea」において、PyPIパッケージのマルウェアVMConnectに関連したサプライチェーン攻撃が継続中だと報じた。PyPIパッケージのマルウェアVMConnectは、「VMwareのコネクタを模倣した不正なPyPIパッケージ発見、ただちに確認を | TECH+(テックプラス)」で報じたとおり、VMware vSphereコネクタモジュールの「vConnector」とほぼ同じコードを含む悪意あるPyPIパッケージを使用した攻撃のこと。ReversingLabsはこの攻撃と朝鮮民主主義人民共和国(北朝鮮)のLazarusグループとを結びつける証拠も発見したとしている。

  • VMConnect supply chain attack continues、evidence points to North Korea

    VMConnect supply chain attack continues, evidence points to North Korea

ReversingLabsの調査チームはPyPIの監視を現在も続行しており、VMConnectと同類と思われる3つの悪意のあるPythonパッケージ、「tablediter」、「request-plus」、「requestspro」を発見したという。VMConnectの調査時と同様に、これらパッケージの調査においても、追加のマルウェアのコピーの入手には失敗し、追跡調査はできていないものとみられる。

しかしながらこれらパッケージの分析で、北朝鮮の国家支援を受けた脅威グループ「Lazarus」の分派であるLabyrinth Chollimaの過去のキャンペーンとの関連が明らかになったという。この脅威グループの推定に関しては、JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)の報告書「DangerousPassword attacks targeting developers’ Windows, macOS, and Linux environments - JPCERT/CC Eyes | JPCERT Coordination Center official Blog」の分析結果が活用されている。

ReversingLabsの分析によると、これら新しく発見されたパッケージはVMConnectよりも検出が難しくなるような修正が施されており、インストール前後に検出されないよう特別な注意を払ってパッケージが構築されているという。さらにtablediterに関しては、インストール時に悪意のあるコードを実行せず、アプリケーション内でモジュール関数を呼び出した際に実行するように修正されており、検出を回避しようとする努力が垣間みられるという。

ReversingLabsは、これら北朝鮮によるものとみられる攻撃キャンペーンは現在進行中であるとし、注意を呼びかけている。また、企業に対してはこのようなサプライチェーン攻撃が損害を与える前に、その検知と防止に必要な労力と資源の両方を投資するよう推奨するとともに、開発者への教育や訓練、意識向上にも投資するよう求めている。