Lazarusグループがnpmとpypiに悪意あるパッケージを大量配布 ― 偽求人キャンペーンの全貌

雑記

北朝鮮のハッカー集団として知られるLazarus Groupが、npmとPyPIのパッケージリポジトリに悪意あるパッケージを大量に仕込む大規模キャンペーンを展開していたことが、サイバーセキュリティ研究者らの調査で明らかになりました。「graphalgo」と名付けられたこの作戦は、偽の求人活動を装い、開発者のシステムに遠隔操作トロイの木馬(RAT)を送り込むという巧妙な手口を用いています。

この記事のポイント

  • Lazarus Groupがnpmに24個、PyPIに12個の悪意あるパッケージを公開し、偽求人キャンペーンで開発者を標的に
  • パッケージの1つ「bigmathutils」は1万ダウンロード超を記録した後、マルウェア入りの第2バージョンをリリース
  • 展開されるRATはMetaMaskの有無をチェックしており、暗号資産の窃取が主目的と推定

偽求人キャンペーン「graphalgo」の手口

このキャンペーンは2025年5月から活動を開始しており、「Veltrix Capital」などの架空のブロックチェーン・暗号資産取引企業を設立するところから始まります。攻撃者はGitHubリポジトリにコーディング課題プロジェクトを作成し、求職者に技術試験として取り組ませます。

巧妙なのは、課題のコード自体に悪意あるコードを直接埋め込むのではなく、課題が依存するオープンソースパッケージの中にマルウェアを仕込んでいる点です。開発者は通常の開発フローでnpm installpip installを実行するだけで、知らないうちにマルウェアをインストールしてしまいます。npmで24パッケージ(graphalgo、graphorithm、graphstruct、bigmathutilsなど)、PyPIで12パッケージが確認されています。

遠隔操作トロイの木馬(RAT)の機能

悪意あるパッケージを通じて展開されるRATは、以下のような広範な機能を備えています。

  • システム情報の収集: ファイルやディレクトリの列挙を含む、標的システムの詳細な情報を取得
  • プロセス監視: 実行中のプロセス一覧を取得し、セキュリティツールの有無などを確認
  • ファイル操作: ファイルの作成・名前変更・削除・アップロード・ダウンロードが可能
  • リモートコマンド実行: C2(コマンド&コントロール)サーバー経由で任意のコマンドを実行

特に注目すべきは、このRATがMetaMaskブラウザ拡張機能のインストール状況をチェックする点です。これは暗号資産ウォレットからの窃取が主要な目的であることを強く示唆しています。

C2通信の特徴とアトリビューション

ReversingLabsの研究者によると、C2通信にはトークンベースの認証が使用されており、これは2023年のJade Sleet(Lazarus Groupの別名)キャンペーンとの類似点です。「トークンベースのアプローチは、公開パッケージリポジトリ上のマルウェアにおいて他の攻撃者には見られない特徴です」と研究者は指摘しており、Lazarus Groupへの帰属の重要な根拠となっています。

この手法の一貫性は、国家支援型の攻撃者が長期にわたって同じインフラやツールを進化させ続けていることを示しています。

同時期に発見された関連脅威

このキャンペーンの調査と並行して、他の脅威も発見されています。

  • Bada Stealer(duer-jsパッケージ): JFrogが発見したWindows向け情報窃取マルウェアで、Discordトークン、ブラウザの認証情報、暗号資産ウォレットデータを抽出
  • XPACK ATTACK: OpenSourceMalwareが文書化した攻撃で、npmパッケージのインストール時にHTTP 402ステータスコードを使って0.1 USDC/ETHの暗号資産支払いを要求するという新しい手法

これらはサプライチェーン攻撃の手法が多様化し、パッケージリポジトリのエコシステム全体が脅威にさらされていることを示しています。

知っておくと便利なTips

  • npm auditpip auditを定期的に実行し、依存パッケージの脆弱性や不審なパッケージがないかチェックする習慣をつけましょう
  • 求人やコーディング課題を受ける際、指定されたパッケージが信頼できるか(ダウンロード数、メンテナー、リポジトリの信頼性)を確認してからインストールすること
  • パッケージの新バージョンが公開された際は、CHANGELOGやdiffを確認してから更新するのが安全です
  • lockfileを活用し、意図しないバージョンアップによるマルウェア混入を防ぎましょう

まとめ

Lazarus Groupによる今回のキャンペーンは、npmとPyPIという開発者が日常的に利用するパッケージリポジトリを攻撃ベクトルとして悪用するサプライチェーン攻撃の深刻さを改めて浮き彫りにしました。偽求人という社会的手法と、依存関係を通じた間接的なマルウェア配布を組み合わせた攻撃は非常に巧妙であり、開発者一人ひとりがパッケージの信頼性を意識的に確認する必要があります。Claude Codeのようなツールを使った開発においても、サードパーティパッケージの導入時には十分な注意を払いましょう。

📎 元記事: https://thehackernews.com/2026/02/lazarus-campaign-plants-malicious.html

コメント

タイトルとURLをコピーしました