北朝鮮関連の持続的なキャンペーンである**Contagious Interview**は、Go、Rust、PHPのエコシステムを標的とする悪意のあるパッケージを公開することで、その影響範囲を広げています。 **Socket**のセキュリティ研究者であるKirill Boychenko氏は火曜日のレポートで、「攻撃者は正規の開発者ツールを装うようにパッケージを設計しましたが、静かにマルウェアローダーとして機能し、Contagious Interviewの確立された手口を、協調的なクロスエコシステムサプライチェーンオペレーションへと拡張しました」と述べています。 ### 特定された悪意のあるパッケージ 特定されたパッケージの完全なリストは以下の通りです。 * npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz * PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit * Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg * Rust: logtrace * Packagist: golangorg/logkit これらのローダーは、プラットフォーム固有のセカンドステージペイロードを取得するように設計されています。これらは、infostealerおよびリモートアクセストロイの木馬（RAT）機能を備えたマルウェアです。マルウェアは主に、Webブラウザ、パスワードマネージャー、および仮想通貨ウォレットからのデータ収集に焦点を当てています。 ### 高度な侵害後機能 特に、「license-utils-kit」を介して配信されるマルウェアのWindowsバージョンには、**Socket**が「完全な侵害後インプラント」と説明するものが組み込まれています。このインプラントは、シェルコマンドの実行、キーストロークの記録、ブラウザデータの窃取、ファイルのアップロード、Webブラウザの終了、リモートアクセスのための**AnyDesk**の展開、暗号化アーカイブの作成、および追加モジュールのダウンロードが可能です。 Boychenko氏は、「これは、このクラスターがクロスエコシステムへのリーチだけでなく、キャンペーンの一部に組み込まれた侵害後機能の深さにおいても注目に値するものです」と付け加えています。 ### 隠蔽された悪意のあるコード これらのライブラリの重要な側面は、悪意のあるコードがインストール中にトリガーされないことです。代わりに、パッケージの宣伝されている目的に沿った、正規に見える機能に埋め込まれています。例えば、「logtrace」の場合、コードは「Logger::trace(i32)」という、疑いを抱かせにくいメソッド内に隠されています。 Contagious Interviewが5つのオープンソースエコシステムに拡大したことは、リソースが豊富で持続的なサプライチェーンの脅威を示しています。このキャンペーンは、これらのプラットフォームに体系的に侵入し、スパイ活動や金銭的利益のために開発者環境を侵害する初期アクセス経路として利用することを目的としています。 合計で、**Socket**は2025年1月の初めから、この活動に関連する1,700以上の悪意のあるパッケージを特定しています。 ### より広範なキャンペーンと帰属 この発見は、北朝鮮のハッキンググループによって行われている、より広範なソフトウェアサプライチェーン侵害キャンペーンの一部です。これには、悪名高いAxios npmパッケージのポイズニングが含まれており、ターゲットを絞ったソーシャルエンジニアリングキャンペーンを通じてパッケージメンテナーのnpmアカウントを乗っ取った後、WAVESHAPER.V2というインプラントを配布しました。 この攻撃は、UNC1069として知られる金銭目的の脅威アクターに帰属しており、これは**BlueNoroff**、**Sapphire Sleet**、および**Stardust Chollima**と重複しています。**Security Alliance (SEAL)**は、本日公開されたレポートで、2026年2月6日から4月7日の間に、**Microsoft Teams**や**Zoom**のようなサービスを偽装したUNC1069関連のドメイン164件をブロックしたと述べています。 「UNC1069は、既知の連絡先や信頼できるブランドを偽装したり、以前侵害された企業や個人のアカウントへのアクセスを活用したりすることで、**Telegram**、**LinkedIn**、**Slack**全体で数週間にわたる低圧のソーシャルエンジニアリングキャンペーンを展開し、その後、不正な**Zoom**または**Microsoft Teams**会議リンクを提供します」と**SEAL**は述べています。 これらの偽の会議リンクは、ClickFixのような誘い文句を提供するために使用され、マルウェアの実行につながり、攻撃者が制御するサーバーに連絡してデータ窃取やWindows、macOS、Linux全体でのターゲットを絞ったポストエクスプロイト活動を行います。 「オペレーターは、初期アクセス後にすぐに活動しません。インプラントは、侵害後に一定期間、休眠状態または受動的なままにされます」と**SEAL**は付け加えています。「ターゲットは通常、失敗した通話を再スケジュールし、デバイスが侵害されていることに気づかずに通常の操作を続行します。この忍耐力は、運用ウィンドウを拡大し、インシデント対応がトリガーされる前に抽出される価値を最大化します。」 ### Microsoftの声明 The Hacker Newsに共有された声明の中で、**Microsoft**は、金銭目的の北朝鮮の脅威アクターが、米国拠点の金融機関やビデオ会議アプリケーションを偽装したドメインを使用してソーシャルエンジニアリングを行っており、ツールセットとインフラストラクチャを積極的に進化させていると述べています。 「DPRK関連の金銭目的の攻撃者がどのように活動しているか、ツール、インフラストラクチャ、およびターゲティングのシフトにおいて継続的な進化が見られますが、行動と意図には明確な連続性があります」と、**Microsoft**の脅威インテリジェンス担当ゼネラルマネージャーであるSherrod DeGrippo氏は述べています。