GitHubユーザーは要注意 北朝鮮工作員がmacOS向け新型マルウェアを展開中：Cybersecurity Dive

北朝鮮の脅威アクターが「macOS」向けの新型マルウェアを展開している。このマルウェアは、北朝鮮の工作員が面接官を装って求人面接に来た開発者をだます脅威キャンペーンに利用されているようだ。

[Robert Wright，Cybersecurity Dive]

　SentinelOneは2025年2月3日（現地時間、以下同）、自社のブログでこれまで検出されていなかった新しいタイプの「macOS」向けのマルウェア「FlexibleFerret」の存在を明らかにした。

macOS向けマルウェア亜種「FlexibleFerret」が登場　開発者を標的に

　SentinelOneの脅威インテリジェンスチーム「SentinelLabs」の研究者によると、北朝鮮の攻撃者が求人面接を利用して標的の人物をだまし、マルウェアをダウンロードさせる脅威キャンペーン「Contagious Interview」にFlexibleFerretが利用されているという。

　SentinelLabsの研究者は、ブログへの投稿で次のように述べている（注1）。

　「通常、標的は面接官と通信するように要求されるが、その際にリンクにアクセスするとエラーメッセージが表示され、オンライン会議のために『VCam』や『CameraAccess』のようなソフトウェアのインストールやアップデートを要求される」

　SentinelOneによると、マルウェア「Ferrett」は2024年12月にサイバーセキュリティベンダーによって初めて報告された。Appleは2025年1月27日の週に、同社のアンチウイルステクノロジー「XProtect」のシグネチャアップデートで、このmacOS向けのマルウェア群の幾つかの亜種に対応した。しかし北朝鮮の攻撃者はこの更新に適応し、XProtectでは検出されない「FlexibleFerret」を展開した。

　さらに、SentinelLabsの研究者は、macOS向けのマルウェア群の他の亜種とは異なり、FlexibleFerretには、「Apple Developer」と「Team ID」による有効な署名がなされており、一見すると正規のソフトウェアのように見える仕組みだと指摘した。なお、この署名とTeam IDはすでにAppleによって無効化されているという。

　2023年11月から続いている脅威キャンペーン「Contagious Interview」は（注2）、求人検索プラットフォームや就活フォーラムに投稿し、企業やソフトウェア開発者を標的とするものだ。この攻撃を仕掛けている攻撃者は国家からの支援を受けており、採用担当者を装い、偽の求人面接で開発者を誘い込もうとする。被害者が面接官から提示された悪質なリンクをクリックすると、FlexibleFerretが被害者のホストにバックドアを仕掛け、攻撃者が被害者の現在の勤務先にアクセスできるようになる可能性がある。

開発者コミュニティーに潜伏している北朝鮮工作員

　SentinelLabsの研究者は、このキャンペーンの最新の手口は、正規のリポジトリ内で偽の課題を作成し、「GitHub」のユーザーを標的にするものだと確認した。

　SentinelLabsの研究者は、次のように述べている。

　「多様な戦術を使うことで、攻撃者は開発者コミュニティー内のさまざまな標的にマルウェアを配布できる。これには特定のターゲットを狙った手法だけでなく、ソーシャルメディアやGitHubのようなコード共有サイトを利用した、より無差別なアプローチも含まれている」

　SentinelLabsのシニアリサーチャーであり、今回のブログ投稿の共著者でもあるフィル・ストークス氏は「XProtectはまだFlexibleFerretを検出できないものの、Appleはこの新しいマルウェアへの対策を講じているようだ」と述べた。

　「現時点において、XProtectにはFlexibleFerretを検出するルールが含まれていない。AppleがFerret向けのルールを使って特定した他のマルウェアとFlexibleFerretとの大きな違いは、FlexibleFerretがApple Developer IDで署名されていたことだ。この証明書は、私たちが記事を公開する時点ですでにAppleによって無効化されており、Appleがこの開発者を認識していることを示している」（ストークス氏）

　ストークス氏は、SentinelLabsは過去1年間におけるmacOS向けのマルウェアの増加を確認していると付け加えた（注3）。

　Contagious Interviewの活動は、北朝鮮が国家として支援する攻撃者が、求人関連のキャンペーンを通じて企業や開発者を攻撃する最新の例だ。米国連邦捜査局（FBI）は2022年に、攻撃者はディープフェイクを使用し、北朝鮮国籍ではない人物になりすまして、西側企業のIT担当者やソフトウェア開発者として雇用されようとしていると警告した（注4）。

　雇用された場合、北朝鮮の攻撃者はアクセス権を使って機密データや知的財産を盗むことになる。米国当局やサイバーセキュリティベンダーは、企業や政府機関の雇用主に対し、求職者と面接する際には注意を払い、身元確認のために特別な対策を講じるよう促している。

（注1）macOS FlexibleFerret | Further Variants of DPRK Malware Family Unearthed（SentinelOne）
（注2）Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors（UNIT42）
（注3）2024 macOS Malware Review | Infostealers, Backdoors, and APT Campaigns Targeting the Enterprise（SentinelOne）
（注4）Major companies keep hiring North Korean IT workers（Cybersecurity Dive）

原文へのリンク