Securonixはこのほど、「Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors - Securonix」において、ソフトウェア開発者を標的とするPythonベースの遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)を配布するサイバー攻撃のキャンペーン「DEV#POPPER」を発見したと報じた。このキャンペーンは北朝鮮に関係する脅威アクターが実施したものと推測されている。
キャンペーン「DEV#POPPER」の概要
Securonixによると、このキャンペーンでは正規の面接官を装った脅威アクターが偽の面接を通じてマルウェアを配布するという。面接に応募すると、GitHubリポジトリからノードパッケージマネージャー(npm: Node Package Manager)のパッケージファイルをダウンロードするように要求される。
パッケージファイルには「Frontend」と「Backend」の2つのディレクトリが含まれており、Backendに悪意のあるJavaScriptが含まれている。このJavaScriptは一見するとデータベース「MongoDB」を操作する簡単なコードのように見えるが、実際は画面に表示されない水平方向右側に悪意のある長いコードが隠されている。
このnpmパッケージを実行すると難読化された悪意のあるJavaScriptが実行され、リモートから追加のアーカイブファイルをダウンロードしてユーザーの一時ディレクトリに展開する。展開したアーカイブファイルにはpython.exeと悪意のあるPythonスクリプトが含まれており、このpython.exeを使用して実行される。
Pythonスクリプトはさらに別のPythonスクリプトを実行する。この2番目のPythonスクリプトが難読化されたマルウェア本体とされ、システム情報およびネットワーク情報を窃取し、その後遠隔操作型トロイの木馬として機能するとされる。
対策
Securonixはこのような攻撃を回避するために、次のような対策を推奨している。
- 面接のような高いストレスを受ける状況下においても警戒を怠らず、セキュリティ意識を維持する
- このような攻撃では一時ディレクトリを悪用することが多い。一時ディレクトリに対する不審な活動を監視する
- 通常の利用において実行することのないPythonなどのスクリプト言語の使用を監視する。この作業のためにSysmonやPowerShellログなどの追加のログを利用する
Securonixは同様の攻撃が継続しているとして、注意を呼びかけている。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)が公開されており、必要に応じて活用することが望まれている。