🔥 この記事の詳細
2026-06-16 更新
C
月内に

北朝鮮の脅威アクター「Contagious Interview」が、開発者向けの求人やコードレビューを装ったフィッシングキャンペーンを展開しています

事案🌐 英語ソース📰 2記事🌐 2 countries
🇰🇷 Korea · 🇺🇸 US
📅 2026-06-16📰 hackernews
📌 一言でいうと
北朝鮮の脅威アクター「Contagious Interview」が、開発者向けの求人やコードレビューを装ったフィッシングキャンペーンを展開しています。攻撃者はGitHubリポジトリを通じて悪意のあるスクリプトを配布し、VS Codeの「runOn: folderOpen」機能を利用してmacOS、Linux、Windows向けにクロスプラットフォームマルウェア(Overlord等)を実行させます。金融、暗号資産、教育、テクノロジー分野の約100組織が標的となっています。
🔍該当判定
  • 社内でエンジニアが GitHub から外部のソースコードをダウンロードして利用している
  • 社内で Microsoft Visual Studio Code (VS Code) を開発ツールとして利用している
  • エンジニアが外部から「求人」や「コードレビュー」を装ったメールを受け取り、リンク先を開いた
  • 社内で macOS, Linux, Windows のいずれかで Go言語ベースのツールを動作させている
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なGitHubリポジトリからのコードダウンロードを禁止し、VS Codeなどのエディタで信頼できないプロジェクトを開いた際に自動的にスクリプトが実行されないよう設定を確認してください。また、開発者向けの求人メール等に含まれる外部リンクへの警戒を強化してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】開発者向け求人を装った不正メールへの注意について

お疲れさまです。情報システム担当です。
開発者やエンジニアを狙い、求人やコードレビューを装ってウイルスに感染させる攻撃が確認されています。

ご協力をお願いしたいこと:
1. 知らない相手から届いた求人案内やコード確認依頼のメールにあるリンク(GitHub等)を安易にクリックしない
2. 外部から入手したプログラムやプロジェクトファイルを、十分に確認せずに実行・展開しない

対応期限: 本日中
Subject: [Security Alert] Beware of Phishing Emails Targeting Developers

Hi everyone,
We have observed phishing attacks targeting developers and engineers by posing as job recruitment or code review requests.

What we need from you:
1. Do not click on links (e.g., GitHub) in emails from unknown senders regarding job offers or code reviews.
2. Do not execute or open project files obtained from external sources without proper verification.

Deadline: Immediate
件名: 【共有】北朝鮮系APTによるVS Codeを悪用したマルウェア配布について

お疲れさまです。北朝鮮系アクター「Contagious Interview」による新キャンペーンに関する情報共有です。

■ 概要
開発者向け求人を装い、GitHub上の悪意あるリポジトリへ誘導。VS Codeの「runOn: folderOpen」設定を悪用し、フォルダを開いたタイミングでOverlord等のクロスプラットフォームマルウェアを自動実行させる手法が確認されています。

■ 影響範囲
- VS Codeを利用している開発環境(Windows, macOS, Linux)

■ 対応手順
1. 開発チームに対し、信頼できないリポジトリのクローンおよび展開の禁止を徹底する
2. VS Codeのワークスペース設定(.vscode/settings.json)における自動実行設定の監視・制限を検討する
3. 開発者向けフィッシングメールの傾向について注意喚起を行う

■ 参考情報
- Proofpoint Report (UNK_DeadDrop)

対応優先度: 高
対応期限: 今週中
Subject: [Intel] Malware Delivery via VS Code by North Korean APT

Hi team,
Sharing intelligence on a new campaign by the North Korean actor 'Contagious Interview'.

■ Overview
The actor uses recruitment-themed phishing to lure targets to malicious GitHub repositories. They leverage the 'runOn: folderOpen' feature in VS Code to automatically execute cross-platform malware (e.g., Overlord) upon opening the project folder.

■ Scope
- Development environments using VS Code (Windows, macOS, Linux)

■ Action Items
1. Instruct development teams to avoid cloning/opening repositories from untrusted sources.
2. Review and restrict automatic script execution settings within VS Code workspace configurations.
3. Alert developers to the specific phishing themes (recruitment/code review).

■ Reference
- Proofpoint Report (UNK_DeadDrop)

Priority: High
Deadline: End of week
📰 関連する 1 件の記事
dailysecu北朝鮮に関連する攻撃グループ「Contagious Interview」が、GitHub、VS Code、Cursor、npmなどの開発者ツ…
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-16 のまとめ🔍 記事を検索