北朝鮮関連のサプライチェーン攻撃、35件のnpmパッケージで開発者を標的に

佐々山 Tacos

2025.06.26

北朝鮮関連のサプライチェーン攻撃、35件のnpmパッケージで開発者を標的に

The Hacker News – Jun 25, 2025

北朝鮮発の進行中のサイバーオペレーション「Contagious Interview」に関連する新たな有害npmパッケージの数々を、Socketの研究者らが発見。24件のnpmアカウントからアップロードされたこれらのパッケージは、合わせて4,000回以上ダウンロードされているという。

今回見つかった悪意あるnpmパッケージ35件はいずれもHEXエンコードされたローダー「HexEval」を含んでおり、このローダーがインストール後にホスト情報を収集するとともに、スティーラー「BeaverTail」を配布するための次段階のペイロードを投下するという。BeaverTailはPythonバックドア「InvisibleFerret」をダウンロード・実行するほか、機微なデータの収集や感染ホストの遠隔制御を実現する性能を持つ。またある1件のnpmエイリアスについては、クロスプラットフォーム型のキーロガーパッケージを配布していたこともわかっている。

上記のうち、BeaverTailとInvisibleFerretは北朝鮮アクターに関連するマルウェアとしてよく知られている。今回見つかったnpmパッケージも、北朝鮮の国家支援型アクターによるキャンペーン「Contagious Interview」に結び付くものだという。Famous Chollima、DeceptiveDevelopment、DEV#POPPERなどとしても知られるContagious Interviewは、2023年後半にPalo Alto NetworksのUnit 42が初めて公に文書化した現在も進行中のキャンペーンで、企業のリクルーターを装う北朝鮮アクターが求職中の開発者などに接触し、架空の採用プロセスを通じてマルウェアに感染させ、暗号資産やデータを盗み取ることを目指すもの。

今回のサプライチェーン攻撃キャンペーンにおいても、企業のリクルーターに扮した北朝鮮アクターらがLinkedIn上で求職者にコンタクトを取り、採用プロセスの一環と称してコーディングの「課題」としてGoogleドキュメントを送付。このドキュメントに有害npmパッケージが埋め込まれており、ここから感染チェーンが始まることになる。

今回Socketが発見した悪意あるJavaScriptライブラリは以下の通り。このうちreact-plaid-sdk、sumsub-node-websdk、vite-plugin-next-refresh、vite-loader-svg、node-orm-mongoose、router-parseの6件はSocketのブログ記事が執筆された時点でまだ利用可能だったとのこと。