偽求人リクルーターが開発者向けコーディング課題にマルウェアを潜ませる
Original Title: Fake job recruiters hide malware in developer coding challenges
Published (UTC): 2026-02-13T13:35:37+00:00
要旨(日本語)
– 北朝鮮系の偽リクルーターキャンペーンがJavaScript/Python開発者を暗号資産関連課題で誘導し、応募者にコード実行を促して感染させる手口
– 2025年5月以降継続するモジュール型の活動で、部分的な露見後も迅速に再開可能な設計
– npmとPyPIに公開されたパッケージをダウンローダーとして悪用し、合計192個の悪性パッケージをReversingLabsが確認(作戦名「Graphalgo」)
– 偽のブロックチェーン/暗号取引企業を装い、LinkedIn・Facebook・Reddit等で求人を出して課題提出を求める
– GitHub Organizations上の課題リポジトリ自体はクリーンで、依存関係として悪性パッケージを紛れ込ませる間接手法
– 事例:「bigmathutils」は累計1万ダウンロード、v1.1.0で悪性ペイロードを導入後に非推奨化・削除して痕跡隠し
– 初期は「graph」系名称でgraphlib等の人気ライブラリを偽装、その後2025年12月以降は「big」を含む名称へ転換
– 実行によりRATを展開し、プロセス列挙・任意コマンド実行・ファイル流出・追加ペイロード投下を行い、C2はトークンで保護
– 被害端末でMetaMask拡張の有無を確認するなど金銭窃取志向が明確で、JavaScript/Python/VBS版など複数亜種を確認
– Lazarus Group関与を中〜高確度で推定(コーディングテスト悪用・暗号資産狙い・遅延発火・GMT+9のコミット時刻が一致)
– 対応策としてIoCの確認、トークン/アカウントの総入れ替え、OS再インストールを推奨。記事末尾にはTinesの自動化ガイドの宣伝が付記