脅威アクターはいろいろな手口で迫ります。
今回はenvファイルを悪用する手口が確認されています。
.envファイルとは、アプリケーションの設定情報や機密情報(APIキー、データベース接続情報など)を保存するテキストファイルです。
これにより、これらの情報をソースコードから分離して管理できるため、セキュリティの向上や、開発・テスト・本番といった各環境ごとの設定の切り替えを容易にする効果があります。
この.envファイルが悪用された例が確認されています。
- ネットワーキングサイトで標的を探す
脅威アクターはLinkedInなどのサイトで標的とする人を探します。
そしていかにも採用活動のような雰囲気をもって、職務評価の実施やプロジェクトでの共同作業を口実に、GitHub、GitLab、Bitbucketなどのプラットフォームでホストされているデモプロジェクトをダウンロードするように指示します。 - envファイルを読み込む
ダウンロードされたデモを実行すると、.envファイルが読み込まれます。
通常であればここにはAPIキーなどのプログラムの中に入れておきたくない内容が置かれることになるのですが、今回はここに攻撃のための情報が混ぜ込まれています。
混ぜ込まれているものはJSONストレージサービスのURLです。
このURLはbase64エンコードされてAPIキーのような感じでenvファイルの中に記述されています。 - JavaScriptの取り込み
JSONストレージサービスのURLから取得されたものはJavaScriptのコードです。
このコードは数層の難読化解除を経て、BeaverTailの亜種となります。
システム情報の取得、Webブラウザのプロファイルからの情報取得、各種ファイルの取得などの機能を持ちます。
そして機能の一つであるHTTPクライアントを使い、次の段階を読み込みます。 - InvisibleFerretの取り込み
HTTPクライアントで読み込まれるのはInvisibleFerretです。
InvisibleFerretはPythonで書かれたモジュール機能を搭載したバックドア型マルウェアです。
InvisibleFerretは継続的に更新されていて、この例では、Tsunami Payload、Tsunami Injector、Tsunami Infectorを読み込むようになっていました。
これらは、システムフィンガープリンティング、データ収集、そしてハードコードされた.onionアドレスからより多くのペイロードを取得することができるようになっています。
この.onionアドレスは現在はオフラインになっていることが確認されていますが、Tsunamiファミリーで追加のペイロードをTORでダウンロードするための機構を持っていることがわかります。
コードを入手させてそれを実行させ、そのなかの悪意あるコードで悪事を働こうという作戦は以前からあります。
このため、セキュリティ製品はそういったものに対応しようとしています。
しかしこれはイタチごっこです。
つぎつぎに込み入った隠し場所を使うようにマルウェア側が変化していきます。
セキュリティ製品は安全機能の一つです。
これがあれば安全になるというものではありません。
一番の安全機構は自分自身と認識し、実施させられようとしていることが怪しいことかもしれないと気がつくことのできるような余裕を持った日々の活動が必要に思えます。
Contagious Interview Actors Now Utilize JSON Storage Services for Malware Delivery
https://blog.nviso.eu/2025/11/13/contagious-interview-actors-now-utilize-json-storage-services-for-malware-delivery/
| この記事をシェア |
|
|---|
