GitHubはこのほど「Security alert: social engineering campaign targets technology industry employees - The GitHub Blog」において、IT企業に勤めている個人アカウントを標的としたソーシャルエンジニアリングキャンペーンが展開されているとして、注意を呼び掛けた。GitHubリポジトリへの招待と悪意のあるnpmパッケージの依存関係を組み合わせた攻撃チェーンが特定されている。
ブロックチェーン、暗号資産、オンラインギャンブル、サイバーセキュリティ分野のGitHubアカウントをターゲットにしたキャンペーンが展開されていることがわかった。Jade Sleet(TraderTraitorとしても知られる)と呼ばれている脅威者によるものとみられており、北朝鮮が支援しているサイバー犯罪者グループに関連していると見られる。
攻撃チェーンは次のとおり。
- GitHubや他のソーシャルメディアプロバイダで開発者や採用担当者を装ったペルソナアカウントを作成し、ターゲットに接触する
- ターゲットとの信頼を確立した後、GitHubリポジトリを使用した共同開発を提案しクローンして実行するよう促してくる
- GitHubリポジトリには悪意のあるnpm依存関係を含むソフトウェアが含まれており、npmパッケージを利用してターゲットのシステムにマルウェアをダウンロードさせる
キャンペーンは、不正なリポジトリへの招待を通じてのみ悪意のあるnpmパッケージを公開することで、監視から逃れるよう工夫されている。場合により、直接メッセージングやファイル共有プラットフォームを使って悪意のあるソフトウェアを配信することで、リポジトリへの招待およびクローンの手順を回避することもあると報告している。
キャンペーンに関連するすべてのnpmおよびGitHubアカウントを停止するとともに、キャンペーンに関連するドメイン、GitHubアカウント、npmパッケージに関する情報が公開されている。またキャンペーンによってGitHubおよびnpmが侵害されていないことも伝えている。