あの手この手で脅威アクターは迫ってきます。
今度は偽のコーディングテストで仕掛けてきています。
どういった手口なのでしょうか。
- ターゲットは求職者
この攻撃でのターゲットは求職者です。
脅威アクターはリクルーターに成りすまします。 - 悪意あるパッケージを作る
準備の最初の段階は、武器の作成です。
脅威アクターは、求職者に配布するパッケージを作ります。
配布物には、選考試験の課題が収められています。
課題を説明するREADMEドキュメントも配布物に含まれています。 - 課題の中身
求職者がパスワードマネージャーアプリケーションのバグを見つけて修正し、修正内容を公開し(GitHubにPushさせます)、スクリーンショットを撮ってコーディング作業を記録するための手順が含まれています。
READMEファイルには、修正を加える前にプロジェクトがシステム上で正常に実行されていることを確認するよう求職者に指示されています。 - 攻撃の構造
この偽のコーディングテストに取り組む人は、まず、配布されたアプリケーションを実行します。
Pythonのプログラムが起動されると、コードで指定されたいくつかのモジュールが読み込まれます。
そのなかに、pyperclipモジュールとpyrebaseモジュールがあります。
これらは正規の内容ではなく、悪意あるコードが含められたものとなっていました。
組み込まれた悪意あるコードはダウンローダーです。
ダウンローダーが動作すると、あとは脅威アクターの思いのままになりそうです。 - 課題の配布
出来上がった課題の詰め合わせは、GitHubに置かれて公開された状態にされました。
この偽リクルーターの指示は、求職者(つまり「ターゲット」)が割り当てられたコーディング作業を完了したかどうかに関係なく、マルウェアの実行が確実にトリガーされるようにするためのものです。
指定された時間以内に課題を完了する必要がある旨をREADMEで読んだ後に求職者は偽のテストに取り組みますので、多くの場合、内容を確認することなく、アプリケーションを実行してしまうことでしょう。
といっても、手が入れられている部分は対象のアプリケーションそのものではなく、それが読み込むモジュールのほうですので、内容を確認しようとした有職者がそこまで内容を確認できるかは怪しいところです。
今回の事例では、ある求職者がLinkedInプロフィールから連絡を受け、「宿題」としてGitHubリポジトリへのリンクを提供されました。
LinkedInで連絡してきたリクルーターは、Capital Oneの採用担当者を装っていました。
出所の確かでないファイルは開かない、ということを意識していたとしても、この事例にあるような流れに実際に遭遇した場合、アプリケーションの実行を踏みとどまることができるでしょうか。
悪意あるパッケージの内容だけでなく、それを展開するストーリーも精巧なものになってきています。
Fake recruiter coding tests target devs with malicious Python packages
https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages
| この記事をシェア |
|
|---|
