ReversingLabsはこのほど、「Fake recruiter coding tests target devs with malicious Python packages」において、北朝鮮の国家支援を受けているとみられる脅威グループ「Lazarus Group」による進行中のマルウェア配布キャンペーンを発見したと報じた。このキャンペーンでは、大手金融サービス企業の採用担当者を名乗る攻撃者が能力テストとして技術者にマルウェアローダーを配布したとされる。

  • Fake recruiter coding tests target devs with malicious Python packages

    Fake recruiter coding tests target devs with malicious Python packages

攻撃手法

ReversingLabsの調査によると、Lazarus Groupは採用面接の一環としてPython技術者としての能力テストを実施し、その際に悪意のあるPythonスクリプトを実行させたという。テストはLazarus Groupが用意したパスワードマネージャーのバグを指定の時間内に発見し、修正するとみられる。

ReversingLabsが発見したテスト用パッケージには、一連の手順を指示するREADMEファイルが含まれており、一般的な能力テストの体裁が整えられていたという。被害者が指示に従いテストを開始すると速やかにマルウェアに感染する仕組みになっており、テスト結果に関係なく侵害される。

しかしながら、この侵害手法には1つ問題がある。被害者はPythonに精通した技術者であり、Pythonスクリプトのバグを見つけるよう指示すると、コードレビューの段階でマルウェアを発見する可能性がある。Lazarus Groupはこのような事態も想定していたとみられ、この問題への対策として短い制限時間を指定している。制限時間を指定された技術者はコードレビューを省略し、とりあえずコードを実行する可能性が高いとされる。

  • 制限時間を指示するREADME - 引用:ReversingLabs

    制限時間を指示するREADME 引用:ReversingLabs

影響と対策

ReversingLabsは悪意のあるパッケージの分析の過程で、被害者を1人発見している。被害者は2024年1月にCapital Oneの採用担当者を名乗る人物からLinkedInを介して連絡を受け、「宿題」としてテスト用パッケージへのリンクを受信したという。

この事案は半年以上前の出来事だが、ReversingLabsは7月31日に、同様の攻撃手法を用いる新しいGitHubリポジトリを発見している。そのため、このキャンペーンは現在進行中の可能性が高いと評価されている。

ReversingLabsは、同様の攻撃が高度な脅威アクターや国家支援を受ける脅威グループの間で増加傾向にあると指摘している。そこで、このような増大する脅威への対策として、企業や組織に最新の攻撃手法に関する情報収集を継続し、従業員教育を実施するように推奨している。