北朝鮮のGraphalgoキャンペーン、マルウェアを拡散するために偽のワークステーションテストモードを使用

ジャカルタ - 北朝鮮の脅威アクターと関連付けられているサイバーキャンペーンは、ソフトウェア開発者にマルウェアを拡散するために偽の求人広告を介して使用することが明らかになりました。この操作はGraphalgoとして知られており、JavaScriptとPythonの専門家、特に暗号分野での経験を持つ専門家をターゲットにしていると報告されています。

ReversingLabsのレポートによると、キャンペーンは2025年5月以来アクティブです。加害者はブロックチェーン企業と暗号取引を装い、LinkedIn、Facebook、Redditなどのプラットフォームを通じて偽の求人広告を掲載しました。

興味のある応募者は、採用プロセスの一環として技術テストを完了するよう求められます。通常、このタスクは、合法でプロフェッショナルに見えるサンプルプロジェクトのデバッグや改善です。しかし、プロジェクトの背後には、npmやPyPIなどの信頼できるリポジトリに隠してアップロードされた危険な依存関係があります。

被害者がプロジェクトを実行すると、危険な依存関係がシステムにリモートアクセストロイの木馬(RAT)をインストールします。このマルウェアは、被害者が気づかずに感染したデバイスを完全に制御できるようにします。

発見された調査結果によると、少なくとも192の危険なパッケージがGraphalgoオペレーションに関連付けられています。あるケースでは、bigmathutilsという名前のパッケージは、1.1.0バージョンまで最初にクリーンで、その後、危険なペイロードに侵入しました。その後、パッケージは、さらなる検出を避けるために削除されました。

インストールされたRATは、実行中のプロセスリストを表示したり、任意の命令を実行したり、ファイルを抽出したり、追加のペイロードをダウンロードして実行したりするなど、さまざまな危険なアクティビティを実行できます。マルウェアはまた、攻撃の背後にある財務的動機を示す、被害者のブラウザ上の暗号ウォレット拡張MetaMaskの存在を確認します。

マルウェアと制御サーバー間の通信は、保護されたトークンベースのメソッドを使用して行われるため、セキュリティシステムによる外部監視が困難になります。

サイバーセキュリティ専門家は、Graphalgoの操作は、北朝鮮と長い間関連付けられており、ソーシャルエンジニアリングベースの攻撃と偽の求人詐欺に積極的に関与しているハッカーグループであるLazarusグループと関連している可能性が高いと評価しています。

このケースは、ソフトウェアリポジトリのバージョン履歴、出版社の評判、および疑わしい更新アクティビティを確認するなど、インストール前にパッケージと依存関係を完全に検証することを開発者に常に思い出させるものです。