BeaverTailマルウェアを配布する北朝鮮ハッカーの悪性npmパッケージが新たに11件見つかる

佐々山 Tacos

2025.04.07

BeaverTailマルウェアを配布する北朝鮮ハッカーの悪性npmパッケージが新たに11件見つかる

The Hacker News – Apr 05, 2025

北朝鮮の脅威アクターらが進行中のキャンペーン「Contagious Interview」において、BeaverTailマルウェアや新たなRATローダーを配布するさらなる悪性npmパッケージを公開していることをSocketのセキュリティ研究者が発見。このキャンペーンでアクターらは、偽の採用面接プロセスを隠れ蓑に開発者のシステムに侵入し、機微なデータや資産を窃取したり、侵害したシステムへのアクセスを長期間維持したりしようとしているという。

Contagious Interviewは、主にLinkedIn上の技術系求職者をターゲットにしてマルウェアを配布するキャンペーン。リクルーターを装った北朝鮮アクターがソフトウェア開発者などの求職者に接触し、採用の一環としてコードレビューを行うなどの口実で悪性npmパッケージをダウンロードさせて、このパッケージを通じてJavaScriptのスティーラーBeaverTailなどのマルウェアを投下する。BeaverTailは情報窃取機能のほか、やPythonベースのバックドアInvisibleFerretのローダーとしての役割も果たすことが知られている。

Socketは今年3月にもBeaverTailを配布する6件の悪性npmパッケージについて報告していたが、今回新たに以下11件のパッケージを発見。現在これらのパッケージは削除されているものの、それまでに合計5,600回以上ダウンロードされていたという。

empty-array-validator
twitterapis
dev-debugger-vite
snore-log
core-pino
events-utils
icloud-cod
cln-logger
node-clog
consolidate-log
consolidate-logger

新たに見つかったこれらのnpmライブラリはユーティリティやデバッガーに見せかけてあり、このうち1件（dev-debugger-vite）が用いるC2アドレスは、「Phantom Circuit」と呼ばれるキャンペーンでLazarus Groupが使用していたとされるアドレスだったとされる。また、cln-logger、node-clog、consolidate-log、consolidate-loggerでは微細なコードレベルのバリエーションが見受けられ、アクターらが複数のマルウェア亜種をリリースしていることが示唆されていたことも報告されている。ただ、これら4件のパッケージに埋め込まれた悪性コードはいずれも、リモートアクセス型トロイの木馬（RAT）のローダーとして機能するものだったという。ただ、このローダーによってドロップされる次の段階のマルウェアがどのような性質のものかは現時点で判明していない。

これらの新たな発見を踏まえてSocketの研究者は、「Contagious Interviewの脅威アクターらは今なお引き続き新しいnpmアカウントを作成し、npmレジストリやGitHub、Bitbucketといったプラットフォーム中に悪性コードをデプロイしてその執拗さを示しており、減速する兆候を一切見せていない」と説明。新種のマルウェアをこれまでとは別のエイリアスのもとで公開するなど、その戦術も多様化していると付け加えた。