C
月内に
北朝鮮のハッキンググループが、開発者を標的とした「폴린라이더 (Polinrider)」キャンペーンを展開し、108個の悪性オープンソースパッケージと拡張プログ…
📌 一言でいうと
北朝鮮のハッキンググループが、開発者を標的とした「폴린라이더 (Polinrider)」キャンペーンを展開し、108個の悪性オープンソースパッケージと拡張プログラムを配布しました。攻撃者は偽の採用担当者に成りすましてアプローチし、悪意のあるコードが含まれたコーディングテストやプロジェクトを配布します。特に、正常なGitHubリポジトリへのコード挿入や、VS Codeの自動実行機能(tasks.json)を悪用して、フォルダを開いただけでマルウェアが実行される仕組みを構築しています。
🔍該当判定
- 社内でJavaScript(npm)、PHP(Packagist)、Goなどの言語を用いて自社開発を行っている
- 開発者がGitHubから外部のオープンソースライブラリやプロジェクトをダウンロードして利用している
- 開発者がVS Code(Visual Studio Code)をエディタとして利用している
- 開発者がLinkedInやGitHubなどの外部サイトを通じて、外部からコーディングテストや採用課題の依頼を受けている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 出所不明の採用案件やコーディングテストに伴うリポジトリのクローン・実行を禁止する。 2. VS Codeの .vscode/tasks.json 等の設定ファイルに不審な自動実行設定がないか確認する。 3. 依存関係にあるパッケージの整合性を検証し、信頼できないソースからのパッケージ導入を制限する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】北朝鮮系アクターによる開発環境標的のサプライチェーン攻撃について
お疲れさまです。開発環境を標的とした新たな攻撃キャンペーンに関する情報共有です。
■ 概要
北朝鮮の「Contagious Interview」に関連する攻撃者が、npm, Packagist, GoモジュールおよびChrome拡張機能を通じて悪性パッケージを配布しています。正常なGitHubリポジトリに難読化されたJSコードを挿入し、VS Codeの `tasks.json` (runOn: "folderOpen") を悪用して、フォルダを開いただけでコードが自動実行される手法が確認されています。
■ 影響範囲
- VS Codeを利用してオープンソースプロジェクトを扱う開発者
- npm, PHP (Packagist), Go モジュールを利用する環境
■ 対応手順
1. 開発チームに対し、不審な採用勧誘や外部からのコーディングテスト用リポジトリを安易に実行しないよう周知徹底してください。
2. 外部から取得したプロジェクトの `.vscode/tasks.json` や設定ファイル(postcss.config.mjs, tailwind.config.js等)に不審なコードが含まれていないかレビューを推奨します。
3. 信頼できないサードパーティパッケージの導入を制限するポリシーを適用してください。
■ 参考情報
- Socket Security Report
対応優先度: 高
対応期限: 速やかに周知
お疲れさまです。開発環境を標的とした新たな攻撃キャンペーンに関する情報共有です。
■ 概要
北朝鮮の「Contagious Interview」に関連する攻撃者が、npm, Packagist, GoモジュールおよびChrome拡張機能を通じて悪性パッケージを配布しています。正常なGitHubリポジトリに難読化されたJSコードを挿入し、VS Codeの `tasks.json` (runOn: "folderOpen") を悪用して、フォルダを開いただけでコードが自動実行される手法が確認されています。
■ 影響範囲
- VS Codeを利用してオープンソースプロジェクトを扱う開発者
- npm, PHP (Packagist), Go モジュールを利用する環境
■ 対応手順
1. 開発チームに対し、不審な採用勧誘や外部からのコーディングテスト用リポジトリを安易に実行しないよう周知徹底してください。
2. 外部から取得したプロジェクトの `.vscode/tasks.json` や設定ファイル(postcss.config.mjs, tailwind.config.js等)に不審なコードが含まれていないかレビューを推奨します。
3. 信頼できないサードパーティパッケージの導入を制限するポリシーを適用してください。
■ 参考情報
- Socket Security Report
対応優先度: 高
対応期限: 速やかに周知
Subject: [Alert] Supply Chain Attack Targeting Developers by North Korean Actors
Dear IT/Security Team,
We are sharing information regarding a new campaign targeting development environments.
■ Overview
Attackers linked to the North Korean 'Contagious Interview' group are distributing malicious packages via npm, Packagist, Go modules, and Chrome extensions. They have compromised legitimate GitHub repositories and are exploiting VS Code's `tasks.json` (`runOn: "folderOpen"`) to trigger automatic malware execution upon opening a project folder.
■ Scope
- Developers using VS Code and open-source libraries.
- Environments utilizing npm, PHP (Packagist), and Go modules.
■ Recommended Actions
1. Instruct development teams to avoid cloning or executing repositories from untrusted recruitment offers or coding tests.
2. Review `.vscode/tasks.json` and configuration files (e.g., postcss.config.mjs, tailwind.config.js) in externally sourced projects for suspicious code.
3. Enforce policies to restrict the installation of unverified third-party packages.
■ Reference
- Socket Security Report
Priority: High
Deadline: Immediate awareness
Dear IT/Security Team,
We are sharing information regarding a new campaign targeting development environments.
■ Overview
Attackers linked to the North Korean 'Contagious Interview' group are distributing malicious packages via npm, Packagist, Go modules, and Chrome extensions. They have compromised legitimate GitHub repositories and are exploiting VS Code's `tasks.json` (`runOn: "folderOpen"`) to trigger automatic malware execution upon opening a project folder.
■ Scope
- Developers using VS Code and open-source libraries.
- Environments utilizing npm, PHP (Packagist), and Go modules.
■ Recommended Actions
1. Instruct development teams to avoid cloning or executing repositories from untrusted recruitment offers or coding tests.
2. Review `.vscode/tasks.json` and configuration files (e.g., postcss.config.mjs, tailwind.config.js) in externally sourced projects for suspicious code.
3. Enforce policies to restrict the installation of unverified third-party packages.
■ Reference
- Socket Security Report
Priority: High
Deadline: Immediate awareness