GitHub社は自社が保守しているソフトウェア開発のプラットフォームであるGitHubにおいて、IT企業に勤めている個人アカウントを標的としたソーシャルエンジニアリングが展開されているとして、注意を呼び掛けました。GitHubリポジトリへの招待と悪意のあるnpmパッケージの依存関係を組み合わせた攻撃チェーンが特定されています。
主にブロックチェーン、暗号資産、オンラインギャンブル、サイバーセキュリティ分野のGitHubアカウントをターゲットにして展開されていると発表しています。Jade Sleet(TraderTraitorとしても知られる)と呼ばれている脅威者によるものとみられており、北朝鮮が支援しているサイバー犯罪者グループに関連しているとされています。
攻撃の流れは次のとおりです。
- GitHubや他のソーシャルメディアプロバイダで開発者や採用担当者を装ったペルソナアカウントを作成し、ターゲットに接触する
- ターゲットとの信頼を確立した後、GitHubリポジトリを使用した共同開発を提案しクローンして実行するよう促してくる
- GitHubリポジトリには悪意のあるnpm依存関係を含むソフトウェアが含まれており、npmパッケージを利用してターゲットのシステムにマルウェアをダウンロードさせる
この攻撃では不正なリポジトリへの招待を通じてのみ悪意のあるnpmパッケージを公開することで、監視から逃れるよう工夫されています。場合によって、直接メッセージやファイル共有プラットフォームを使って悪意のあるソフトウェアを配信することで、リポジトリへの招待およびクローンの手順を回避することもあると報告されています。
コメント