🔥 この記事の詳細
2026-07-18 更新
B
今週中

北朝鮮に関連する攻撃者が、偽の求人広告とコーディングテストを利用して開発者を標的にしたマルウェア配布キャンペーンを展開しています

脆弱性🌐 英語ソース
📅 2026-07-18📰 dailysecu
📌 一言でいうと
北朝鮮に関連する攻撃者が、偽の求人広告とコーディングテストを利用して開発者を標的にしたマルウェア配布キャンペーンを展開しています。攻撃者はSVG形式の国旗画像ファイルにベース64でエンコードした悪意のあるコードを隠し、プロジェクト実行時にこれを結合して実行させる手法を用いています。この攻撃の目的は、ブラウザに保存されたアカウント情報や仮想通貨ウォレットの窃取であると分析されています。
🔍該当判定
  • 自社でNext.js, NestJS, PostgreSQLなどの技術スタックを用いた開発を行っている
  • エンジニアがSlackなどのチャットツールで外部から直接スカウトや求人連絡を受けている
  • 外部から送られてきたコーディングテスト用のプロジェクトファイルを、ローカル環境で実行(npm run dev等)した
  • 開発者がPCでGoogle Chromeなどのブラウザや仮想通貨ウォレットを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないソースからのプロジェクトファイルの実行を避けること。特に、求人プロセスの一環として提供される未検証のコードベースの実行には十分な注意を払い、サンドボックス環境での検証を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】北朝鮮系アクターによる開発者標的型攻撃(REF9403)について

お疲れさまです。開発者を標的とした新たな攻撃キャンペーンに関する情報共有です。

■ 概要
北朝鮮系アクターが偽の求人活動を通じて、SVG画像ファイルに悪意のあるコードを隠蔽したプロジェクトファイルを配布しています。開発者が `npm run dev` 等でサーバーを起動すると、画像内のコードが結合・実行され、ブラウザの認証情報や仮想通貨ウォレットが窃取されます。

■ 影響範囲
- OS: Windows, macOS, Linux
- 対象者: 外部からの求人提案に応じ、提供されたコードを実行した開発者

■ 対応手順
1. 開発チームに対し、不審な求人ルートから提供されたコードをローカル環境で実行しないよう周知徹底してください。
2. 外部プロジェクトを検証する場合は、隔離されたサンドボックス環境または仮想マシンの利用を義務付けてください。
3. 不審なネットワーク通信や、開発端末における認証情報の漏洩の兆候がないか監視を強化してください。

■ 参考情報
- Elastic Security Labs (REF9403)

対応優先度: 中
対応期限: 速やかに周知
Subject: [Intel] North Korean Campaign Targeting Developers (REF9403)

Dear Team,

We are sharing intelligence regarding a new campaign by North Korean-linked actors targeting developers.

■ Overview
Attackers are using fake job recruitment and coding tests to distribute malware. The malicious payload is fragmented and hidden within SVG flag images using Base64 encoding. When a developer runs the project (e.g., via `npm run dev`), the code is reassembled and executed to steal browser credentials and cryptocurrency wallets.

■ Scope
- OS: Windows, macOS, Linux
- Target: Developers executing unverified code from external recruitment sources.

■ Recommended Actions
1. Alert development teams to avoid executing code provided by unknown recruiters on local machines.
2. Mandate the use of isolated sandbox environments or VMs when evaluating external projects.
3. Increase monitoring for unusual network traffic or credential theft indicators on developer workstations.

■ Reference
- Elastic Security Labs (REF9403)

Priority: Medium
Deadline: Immediate awareness