北朝鮮のPurpleBravoキャンペーン：偽の求人面接で3,136のIPアドレスを標的に

サイバーセキュリティの世界では、常に新たな脅威が出現していますが、北朝鮮の脅威アクターによる「PurpleBravo」キャンペーンは、その規模と巧妙さにおいて特に注目に値します。本記事では、Recorded FutureのInsikt Groupが発見したこの大規模なサイバースパイ活動について詳しく解説し、組織を守るための実践的な対策をお伝えします。

この記事のポイント

• 北朝鮮の脅威グループが偽の求人を使って3,136以上のIPアドレスを標的にした大規模攻撃を実施
• AI、暗号通貨、金融サービスなど20の組織が被害に遭い、ヨーロッパから中南米まで広範囲に影響
• Visual Studio Codeプロジェクトを悪用した巧妙なマルウェア配布手法を使用
• 採用プロセスでのセキュリティ対策が今後の組織防衛において極めて重要に

PurpleBravoキャンペーンの全容

PurpleBravoは、北朝鮮の脅威クラスターによって実行されたサイバースパイ活動であり、CL-STA-0240、DeceptiveDevelopment、Void Dokkaebiなど複数の別名でも知られています。このキャンペーンは2024年8月から2025年9月にかけて実施され、複数の大陸にまたがる3,100以上のIPアドレスを標的にしました。

被害を受けた20の組織は、人工知能（AI）、暗号通貨、金融サービス、ITサービス、マーケティング、ソフトウェア開発セクターに属しています。地理的には、ベルギー、ブルガリア、コスタリカ、インド、イタリア、オランダ、パキスタン、ルーマニア、アラブ首長国連邦、ベトナムと、非常に広範囲にわたっています。特に南アジアと北米に集中していることが確認されており、これらの地域の組織は特に警戒が必要です。

偽の求人面接という巧妙な攻撃手法

このキャンペーンの最も特徴的な点は、ソーシャルエンジニアリングを駆使した攻撃手法にあります。攻撃者は架空の求人機会を作成し、開発者やリクルーターを装ってターゲット組織への侵入を試みました。具体的には、Jamf Threat Labsが検出した4つのLinkedInペルソナは、いずれもウクライナのオデッサ出身を主張する開発者やリクルーターでした。

彼らは「信頼された開発者ワークフロー」を悪用し、悪意のあるMicrosoft Visual Studio Codeプロジェクトを配布メカニズムとして使用しました。採用面接の一環としてコーディングテストを求められた候補者が、知らないうちにマルウェアを実行してしまうという手口です。特に懸念されるのは、一部の候補者が会社支給のデバイス上で悪意のあるコードを実行してしまったケースがあり、「個人のターゲットを超えた組織的な露出」を引き起こしていることです。

使用されたマルウェアの技術的詳細

PurpleBravoキャンペーンでは、複数のマルウェアファミリーが展開されています。BeaverTailは、JavaScriptベースの情報窃取型マルウェアおよびローダーとして機能します。また、GolangGhost（FlexibleFerretまたはWeaselStoreとも呼ばれる）は、HackBrowserDataから派生したGo言語ベースのバックドアです。これらのツールを配布するために設計された悪意のあるGitHubリポジトリも発見されています。

コマンド＆コントロール（C2）インフラストラクチャは17のプロバイダーにまたがっており、Astrill VPNと中国から発信されるIPレンジを通じて管理されています。この分散型のインフラストラクチャは、追跡と遮断を困難にしています。

他の北朝鮮脅威グループとの関連性

PurpleBravoは、IT労働者が無許可で雇用を求めるという別の北朝鮮のイニシアチブであるWagemole（PurpleDelta）と戦術的・インフラ的に重複しています。オペレーターの行動パターンの共有、IPアドレスの重複、共通のVPNインフラストラクチャなどの指標から、異なる標的アプローチにもかかわらず、協調した作戦が行われていることが示唆されています。

実践してみよう

組織を守るために、以下のコマンドで不審なネットワーク接続を監視することができます。

# 不審な外部接続の確認（Linux）
netstat -tuln | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20

# Astrill VPN関連のIPアドレスレンジをブロック（iptables例）
# 注意: 実際の運用では、最新の脅威インテリジェンスを参照してください
sudo iptables -A INPUT -s 103.0.0.0/8 -j DROP  # 例示用

# Visual Studio Codeの拡張機能監査
code --list-extensions > vscode_extensions.txt
cat vscode_extensions.txt | while read ext; do echo "Checking: $ext"; done

# GitHubリポジトリのクローン前に安全性を確認
git remote -v  # リモートURLの確認
git log --oneline -10  # 最近のコミット履歴確認

これらのコマンドは定期的に実行し、異常なパターンがないかを監視することをお勧めします。

セキュリティTips

• 採用プロセスのセキュリティ強化: 候補者に対するコーディングテストは、隔離された環境（サンドボックス）で実施してください。会社支給のデバイスでの外部コード実行は、必ずセキュリティチームの承認を得るプロセスを設けましょう。

• LinkedInプロファイルの検証: 採用候補者のLinkedInプロファイルは、複数の情報源で検証してください。特にウクライナや東欧出身を主張する開発者プロファイルは、PurpleBravoが使用した偽装パターンに合致する可能性があります。

• Visual Studio Codeプロジェクトの監査: 外部から受け取ったVSCodeプロジェクトを開く前に、.vscodeフォルダ内のtasks.jsonやlaunch.jsonを手動で確認してください。自動実行されるスクリプトが含まれていないかをチェックすることが重要です。

• ネットワーク監視の強化: VPN接続、特にAstrill VPNからのトラフィックを監視し、不審なC2通信パターンを検出するルールを実装してください。

まとめ

PurpleBravoキャンペーンは、北朝鮮の脅威アクターがいかに巧妙かつ大規模なサイバー攻撃を実行できるかを示す重要な事例です。偽の求人面接という一見無害に見えるアプローチを使用し、世界中の20以上の組織を標的にしたこのキャンペーンは、サプライチェーン攻撃の新たな形態を示しています。

組織を守るためには、採用プロセス自体をセキュリティの観点から見直し、外部から受け取るコードの実行には細心の注意を払う必要があります。また、脅威インテリジェンスを活用して最新の攻撃パターンを把握し、プロアクティブな防御体制を構築することが求められます。サイバーセキュリティは技術だけでなく、人的要素も含めた総合的なアプローチが不可欠であることを、このキャンペーンは改めて教えてくれています。

📎 元記事: North Korean PurpleBravo Campaign Targeted 3,136 IP Addresses via Fake Job Interviews