朝鮮ハッカー組織PurpleBravoが再び動き出した。2025年に暗号通貨市場から20億ドル超を窃取した後、この組織は今年1月22日に大規模な偽採用活動を開始し、人工知能、暗号通貨、金融サービス企業に関連する3100以上のインターネットアドレスに対してサイバースパイ攻撃を仕掛けた。今回は、より巧妙な侵入手法を採用している:採用担当者や開発者を装い、偽の技術面接を通じて求職者を企業のデバイス上で悪意のあるコードを実行させる。## 偽採用が新たな社会工学の入口に### 攻撃手法の革新性PurpleBravoの新しい攻撃フローは一見単純だが、非常に効率的だ。攻撃者はまず暗号やテクノロジー企業の採用担当者を装い、求職者と連絡を取る。その後、技術面接を名目に、ターゲットに一連の合理的に見えるタスクを完了させる:コードのレビュー、コードベースのクローン作成、プログラミング課題の完遂など。これらのタスクを実行させる過程で、実際にはハッカーが巧妙に用意した悪意のあるコードを動かしている。この方法の巧みさは、求職者の心理を巧みに利用している点にある。面接のタスクは完全に合理的に見え、求職者は自分の能力をアピールしたい気持ちから警戒心を低下させやすい。企業側にとっては、攻撃対象となるのは一定の技術力を持つ社員であり、こうした社員はより高いシステム権限を持つことが多い。### 偽装とインフラセキュリティ調査機関Recorded Futureの分析によると、PurpleBravoは複数の偽装アイデンティティを使用しており、その中には偽のウクライナ人の身分も含まれる。彼らは主に2種類のリモートアクセス型トロイの木馬ツールを展開している:- PylangGhost:ブラウザの資格情報やクッキーを自動的に窃取可能- GolangGhost:同様に資格情報の窃取能力を持つさらに、ハッカーはMicrosoft Visual Studio Codeを武器化し、悪意のあるGitリポジトリを通じてバックドアを仕込んでいる。彼らのインフラは非常に整備されており、Astrill VPNや17のサービスプロバイダーを利用してマルウェアサーバーをホスティングしている。## 暗号業界への特別な脅威### なぜ暗号業界が重点ターゲットとなるのか今回の攻撃対象の3100以上のターゲットの中で、暗号通貨企業の占める割合は顕著だ。これは偶然ではない。暗号業界の従業員はしばしば秘密鍵やウォレットアクセス権などの高価値資産を管理しており、一度侵害されるとハッカーは資金を直接移動できる。また、暗号企業の防御体制は従来の金融機関ほど成熟していない場合も多い。既に確認された20の被害機関は南アジア、北米、ヨーロッパ、中東、中米などに分散している。これにより、PurpleBravoは世界規模で明確なターゲットを持っていることが示されている。### 追加の脅威シグナルセキュリティ研究者は、関連するTelegramチャンネルでLinkedInやUpworkのアカウントが販売されていることも発見している。また、攻撃者は暗号取引所MEXC Exchangeとやり取りしていたことも判明している。これらは、ハッカーが完全なサプライチェーンを構築し、実在の身分情報を取得し、偽の求職情報を作成し、攻撃を実行し、窃取した資産を換金している可能性を示唆している。## 企業の対策### 防御のポイント暗号企業やテクノロジー企業にとって、この種の攻撃に対抗するには多層防御が必要だ。- 採用プロセスの検証:公式チャネルを通じて面接招待を確認し、企業のメールアドレスを使用し、第三者のメールは避ける- 従業員教育:技術者に対し、社会工学攻撃の新手法を理解させ、見た目が合理的な面接タスクでも警戒を怠らないよう指導- コードレビュー:外部からのコードは厳格に審査し、本番環境で直接実行しない- アクセス制御:従業員のデバイス権限を制限し、不信なタスクには隔離された仮想マシンを使用- 監視とアラート:エンドポイント検出と対応(EDR)ツールを導入し、不審な資格情報アクセスやネットワーク接続を監視## まとめ偽採用面接は、ハッカーの社会工学手法の新たな方向性を示している。従来のフィッシングメールと比べて、よりターゲットを絞った手法であり、求職者の心理や企業の採用フローの脆弱性を巧みに突いている。暗号業界にとって、PurpleBravoの継続的な活動は、朝鮮ハッカーが依然としてこの業界を主要な標的と見なしていることを示している。企業は、高度なスキルを持つ社員が最も狙われやすい突破口であることを認識し、採用の検証プロセスと社員のセキュリティ意識の徹底が重要だ。また、業界内での情報共有と協力による防御もますます重要になっている。
虚偽の採用面接が新たな武器に、北朝鮮ハッカーが暗号業界を標的に3100以上のIP
朝鮮ハッカー組織PurpleBravoが再び動き出した。2025年に暗号通貨市場から20億ドル超を窃取した後、この組織は今年1月22日に大規模な偽採用活動を開始し、人工知能、暗号通貨、金融サービス企業に関連する3100以上のインターネットアドレスに対してサイバースパイ攻撃を仕掛けた。今回は、より巧妙な侵入手法を採用している:採用担当者や開発者を装い、偽の技術面接を通じて求職者を企業のデバイス上で悪意のあるコードを実行させる。
偽採用が新たな社会工学の入口に
攻撃手法の革新性
PurpleBravoの新しい攻撃フローは一見単純だが、非常に効率的だ。攻撃者はまず暗号やテクノロジー企業の採用担当者を装い、求職者と連絡を取る。その後、技術面接を名目に、ターゲットに一連の合理的に見えるタスクを完了させる:コードのレビュー、コードベースのクローン作成、プログラミング課題の完遂など。これらのタスクを実行させる過程で、実際にはハッカーが巧妙に用意した悪意のあるコードを動かしている。
この方法の巧みさは、求職者の心理を巧みに利用している点にある。面接のタスクは完全に合理的に見え、求職者は自分の能力をアピールしたい気持ちから警戒心を低下させやすい。企業側にとっては、攻撃対象となるのは一定の技術力を持つ社員であり、こうした社員はより高いシステム権限を持つことが多い。
偽装とインフラ
セキュリティ調査機関Recorded Futureの分析によると、PurpleBravoは複数の偽装アイデンティティを使用しており、その中には偽のウクライナ人の身分も含まれる。彼らは主に2種類のリモートアクセス型トロイの木馬ツールを展開している:
さらに、ハッカーはMicrosoft Visual Studio Codeを武器化し、悪意のあるGitリポジトリを通じてバックドアを仕込んでいる。彼らのインフラは非常に整備されており、Astrill VPNや17のサービスプロバイダーを利用してマルウェアサーバーをホスティングしている。
暗号業界への特別な脅威
なぜ暗号業界が重点ターゲットとなるのか
今回の攻撃対象の3100以上のターゲットの中で、暗号通貨企業の占める割合は顕著だ。これは偶然ではない。暗号業界の従業員はしばしば秘密鍵やウォレットアクセス権などの高価値資産を管理しており、一度侵害されるとハッカーは資金を直接移動できる。また、暗号企業の防御体制は従来の金融機関ほど成熟していない場合も多い。
既に確認された20の被害機関は南アジア、北米、ヨーロッパ、中東、中米などに分散している。これにより、PurpleBravoは世界規模で明確なターゲットを持っていることが示されている。
追加の脅威シグナル
セキュリティ研究者は、関連するTelegramチャンネルでLinkedInやUpworkのアカウントが販売されていることも発見している。また、攻撃者は暗号取引所MEXC Exchangeとやり取りしていたことも判明している。これらは、ハッカーが完全なサプライチェーンを構築し、実在の身分情報を取得し、偽の求職情報を作成し、攻撃を実行し、窃取した資産を換金している可能性を示唆している。
企業の対策
防御のポイント
暗号企業やテクノロジー企業にとって、この種の攻撃に対抗するには多層防御が必要だ。
まとめ
偽採用面接は、ハッカーの社会工学手法の新たな方向性を示している。従来のフィッシングメールと比べて、よりターゲットを絞った手法であり、求職者の心理や企業の採用フローの脆弱性を巧みに突いている。暗号業界にとって、PurpleBravoの継続的な活動は、朝鮮ハッカーが依然としてこの業界を主要な標的と見なしていることを示している。企業は、高度なスキルを持つ社員が最も狙われやすい突破口であることを認識し、採用の検証プロセスと社員のセキュリティ意識の徹底が重要だ。また、業界内での情報共有と協力による防御もますます重要になっている。