攻撃において常に革新的な手法を用いる北朝鮮が、暗号通貨開発者を標的としたキャンペーンを開始しました。その仕組みと防御方法とは?
北朝鮮が暗号通貨開発者を狙っている
暗号通貨のハッキングは、残念ながら北朝鮮にとって一般的な戦略です。同国は、核兵器開発プログラムの資金調達を目的として、ハッカーチームを駆使して暗号通貨を盗んでいます。
この秋、サイバーセキュリティ企業 Socket の研究者たちが警告を発しました。ハッカーたちが現在、暗号通貨開発者を狙っているというのです。彼らによると、北朝鮮は世界で最もよく使用されているソフトウェアライブラリの 1 つである npm レジストリを標的にしていたとのことです。
Socketによると、JavaScriptソフトウェアのインストールと共有に使用されるこのレジストリ上で、300以上の悪意のあるコードパッケージが発見されたという。
これらのパッケージは、インストールされると密かにマルウェアを実行し、パスワード、ブラウザデータ、および仮想通貨ウォレットに関連するキーを盗むことができる。また、同レポートによると、これらの悪意のあるパッケージは、一部が削除されるまでに 5000 回ダウンロードされていたとのことです。
名前の変更に注意
ハッカーは、疑惑をそらすために、有名な名前を 1、2 文字変更して使用しています。
暗号通貨の採用分野では、Web3 キットも標的にされています。
以下は、文字のバリエーションの例です。
- ethers.js は、ethrs.js や ethres.js などの文字のバリエーションで模倣されています。
- web3.js は we3.js または wb3.js に変更されます。
- truffle (truffel)、ganache (ganacche)、foundry (foudry) の系統的なスペルミス、および hardhat-deploy-notifier や hardhat-deploy-notification などの hardhat をテーマにしたパッケージ。
- また、metamask-api など、ブランド名の模倣も行われています。
偽の LinkedIn アカウントと詐欺ネットワーク
また、犯罪者は複数の手法を組み合わせて使用していることも指摘しておく必要があります。彼らは、以前ご紹介した手法である、偽の LinkedIn の採用担当者アカウントを使用する場合もあります。
悪意のある人物たちが、開発者や求職者をより効果的に騙すために、採用担当者、人事担当者、あるいは「技術系」のプロフィールに似せたメールアドレスを登録していることを発見しました。
北朝鮮は、高度に発達したネットワークを駆使して、仮想通貨のハッキングを産業レベルにまで高めているのです。
標的には、Web3、暗号通貨、ブロックチェーンの開発者、および偽の採用担当者から接触を受けた技術職の求職者が含まれ、これにより、複数の段階にわたる侵害や金銭的損失が発生しています。
npm レジストリの所有者である GitHub は、侵害されたパッケージは発見次第削除していることを確認していますが、その数は多すぎて、また頻繁に作成されるため、すべてを追跡することは不可能です。
したがって、開発者は細心の注意を払う必要があります。依存関係を統合する前にスキャンし、自動検証ツールの使用が残念ながら標準となるでしょう。
