北朝鮮(DPRK)のIT工作員が、実在する人物のLinkedInアカウントを使ってリモートワークの求人に応募するという新たな手口が確認されました。認証済みの職場メールやIDバッジを持つプロフィールを悪用することで、採用プロセスをすり抜けようとするこの手法は、従来の偽アカウント作成から大きくエスカレーションしたものです。セキュリティ研究者たちはこの脅威を「Jasper Sleet」「PurpleDelta」「Wagemole」などの名称で追跡しており、企業のセキュリティ担当者に対して早急な対策を呼びかけています。
この記事のポイント
- 北朝鮮のIT工作員が実在する人物のLinkedInアカウントを乗っ取り、リモート求人に応募している
- JavaScriptベースのRAT「Koalemos」や悪意あるnpmパッケージによるマルウェア配布が確認されている
- 目的は武器開発プログラムへの資金獲得と企業の機密情報窃取の二本立て
実在アカウントの悪用という新手口
これまで北朝鮮のIT工作員は、架空のプロフィールや偽造された経歴を使って求人に応募していました。しかし今回確認された手法では、実在する専門家のLinkedInアカウントそのものを利用しています。これらのプロフィールには認証済みの職場メールアドレスやIDバッジが紐付いているため、採用担当者にとって正規の候補者と見分けることが極めて困難です。
セキュリティアライアンス(SEAL)の調査によれば、工作員は被害者の職歴、人脈、認証ステータスをそのまま引き継ぐことで、採用プロセスの信頼性チェックを巧妙にすり抜けています。この手法は、単なるなりすましから「デジタルアイデンティティの完全な乗っ取り」へと進化したと言えます。
マルウェアとサプライチェーン攻撃
技術面では、セキュリティ研究者が「Koalemos」と名付けたJavaScriptベースのリモートアクセス型トロイの木馬(RAT)フレームワークが確認されています。このRATは悪意あるnpmパッケージを通じて配布され、ファイルシステム操作、ファイル転送、システム偵察、任意コード実行など12種類のコマンドをサポートしています。確認されたパッケージ名には「env-workflow-test」や「vg-ccc-client」などが含まれています。
また「Contagious Interview」と呼ばれる関連キャンペーンでは、偽の採用プロセスを利用してマルウェアを配布しています。最近の亜種では、Microsoft VS Codeのタスクファイルを悪用し、Webフォントに偽装したJavaScriptを実行させることで、「BeaverTail」と「InvisibleFerret」というマルウェアを展開します。これらは認証情報や暗号通貨ウォレットの窃取を目的としています。
さらに、デジタル資産インフラ企業Fireblocksの採用プロセスを模倣したキャンペーンでは、候補者にGitHubリポジトリのクローンとnpmパッケージのインストールを求め、マルウェアの実行をトリガーする手法も確認されています。このキャンペーンでは「EtherHiding」という新技術も使用され、ブロックチェーンのスマートコントラクトを活用してC2(コマンド&コントロール)インフラをホスト・取得しています。
攻撃の目的と背景
この工作は北朝鮮が長期にわたって展開している作戦の一環です。目的は大きく2つあります。
1つ目は資金調達です。リモートワークで得た給与を北朝鮮の武器開発プログラムの資金源として利用しています。2つ目は企業スパイ活動で、採用された企業の機密データを窃取することを狙っています。一部のケースでは、窃取した情報を公開すると脅迫して身代金を要求する事例も報告されています。
これらの活動は、サイバーセキュリティの専門家によって「Jasper Sleet」「PurpleDelta」「Wagemole」などの脅威グループ名で追跡されており、国際的な制裁の対象にもなっています。
企業が取るべき防御策
組織のセキュリティ担当者は、以下の防御策を検討すべきです。
- LinkedInアカウントの照合: 候補者のLinkedInプロフィールと提供されたメールアドレスが一致するか検証する
- ビデオ面接の強化: リアルタイムのビデオ通話で本人確認を行い、ディープフェイク技術の使用を警戒する
- 開発環境のセキュリティ: 採用プロセス中に候補者にコード実行を求める場合、隔離された環境で行う
- npmパッケージの監査: 不審なnpmパッケージのインストールを検知する仕組みを導入する
- SNSでの警告: 自身のアイデンティティが悪用されている疑いがある個人は、SNSで警告を投稿し、公式の連絡先確認方法を提示する
知っておくと便利なTips
- npmパッケージをインストールする前に
npm auditコマンドで脆弱性チェックを行う習慣をつけましょう - GitHubリポジトリのクローンを求められた場合、そのリポジトリの信頼性(スター数、コントリビューター、作成日など)を必ず確認しましょう
- 採用プロセスで「特定のコマンドを実行してください」と求められた場合は、まずサンドボックス環境で内容を確認することが重要です
まとめ
北朝鮮のIT工作員による企業潜入工作は、実在するLinkedInアカウントの悪用という新たな段階に入りました。認証済みプロフィールを利用することで従来の検出方法を回避し、JavaScriptベースのRATやサプライチェーン攻撃を組み合わせた高度な攻撃を展開しています。企業の採用担当者やセキュリティチームは、候補者の本人確認プロセスを強化し、開発環境のセキュリティを見直す必要があります。特にリモートワークが一般化した現在、この脅威は業種を問わずすべての企業が認識すべきリスクと言えるでしょう。
📎 元記事: https://thehackernews.com/2026/02/dprk-operatives-impersonate.html
コメント