{{Contagious Interviewマルウェアが開発者を標的に}}

Introduction

Microsoft の最新の脅威調査は、ソフトウェア開発者を雇用する組織にとって増大するリスクを浮き彫りにしています。攻撃者は現在、採用プロセスそのものを初期アクセスの経路として悪用しています。Contagious Interview キャンペーンは、技術面接、コーディング課題、採用担当者からの連絡が、ソースコード、CI/CD パイプライン、クラウド環境、特権シークレットにアクセスできることの多い開発者エンドポイントを侵害するために武器化され得ることを示しています。

What’s new

Microsoft によると、このキャンペーンは少なくとも 2022 年 12 月 から活動しており、現在も顧客環境で検出されています。この活動は主に、エンタープライズ向けソリューションプロバイダーやメディア・通信企業の開発者を標的にしています。

確認された主な手口は次のとおりです。

• 偽の採用担当者からの連絡。暗号資産企業や AI 企業を装う
• GitHub、GitLab、Bitbucket でホストされた 悪意のあるコードリポジトリ
• 持ち帰り課題やコーディングテストの一部として使用される トロイの木馬化された NPM パッケージ
• Visual Studio Code タスクの悪用。リポジトリ作成者を信頼すると、悪意のあるタスク構成ファイルが実行される可能性がある
• 偽の面接サイトで段階的に作られた技術的問題の修正として提示される 貼り付けて実行するコマンド

Microsoft は、このキャンペーンに関連する複数のペイロードとバックドアも確認しています。

• Invisible Ferret: リモートコマンド実行、偵察、永続化に使用される Python ベースのバックドア
• FlexibleFerret: Go 版と Python 版があるモジュール式バックドアで、暗号化された C2、プラグイン読み込み、情報持ち出し、永続化、ラテラルムーブメントをサポート

Why this matters to IT admins

このキャンペーンが注目されるのは、信頼度が高く、プレッシャーも大きい業務プロセスの最中にユーザーを狙っているためです。開発者は、正当な面接に参加していると信じている場合、コードの実行、依存関係のインストール、リポジトリの信頼を行いやすくなります。

防御側にとって、リスクは重大です。

• 開発者のマシンには、API キー、クラウド資格情報、署名証明書、パスワードマネージャーのデータ が保存されていることが多い
• エンドポイントの侵害は、ソースコードの窃取、パイプラインの侵害、より広範なクラウドアクセス につながる可能性がある
• 攻撃者は 正規のツールやワークフロー に依存しており、従来のマルウェア配布手法より検出が難しい

Recommended next steps

組織は、採用ワークフローを攻撃対象領域の一部として扱う必要があります。

Immediate actions

• コーディングテストや持ち帰り課題は、使い捨て VM などの 分離された非永続環境 で実施するよう必須化する
• 採用担当者から提供されたコードを 主要な корпоратив корпоратив workstations で実行することを禁止する
• 外部リポジトリは、スクリプト、タスク、依存関係のインストールを実行する前に確認する
• 短縮リンク、新規 repo アカウント、不自然なセットアップ手順、未知の作成者を信頼するよう求める要求 などの危険信号を識別できるよう、開発者を訓練する

Security controls to review

• 改ざん防止機能、リアルタイム AV、エンドポイント更新が有効になっていることを確認する
• 可能な場合は、Node.js、Python、PowerShell などのスクリプト実行やランタイムを制限する
• Downloads フォルダーや temp フォルダーからの実行をブロックする アプリケーション制御 を検討する
• ダウンロード後に実行するパターン、不審なリポジトリ動作、低評価ホストへのアウトバウンド通信を監視する
• 短命な資格情報、vault ベースの保管、MFA によってシークレット露出を減らす

Contagious Interview は、現代の攻撃がソフトウェアの脆弱性だけでなく、業務ワークフローをますます悪用していることを示す警鐘です。セキュリティチームにとって、開発者を保護することは今や面接プロセスそのものを保護することも意味します。