開発者を狙う大規模フィッシングに注意 約6週間で250通以上の攻撃メール：北朝鮮系脅威アクターが関与か

Proofpointは、北朝鮮系アクター「UNK_DeadDrop」が開発者を標的にした大規模フィッシング活動を展開していると報告した。攻撃者は、約6週間で250通を超える攻撃メールを送信し、100以上の組織が標的になっているという。

[＠IT]

　Proofpointは2026年6月8日（現地時間）、北朝鮮系の可能性が高い脅威アクター「UNK_DeadDrop」による開発者・エンジニアを標的にしたフィッシング活動について調査結果を報告した。

　攻撃者は採用活動やコード査読依頼を装った電子メールを送り、不正な「GitHub」リポジトリ経由でマルウェアを配布し、暗号資産関連データや認証情報の窃取を狙うという。

約6週間で250通を超える攻撃メールを送信　100以上の組織が標的に

　同社の脅威インテリジェンスチーム「Proofpoint Threat Research」によると、活動は2026年4〜5月にかけて確認された。約6週間で250通超の電子メールが送信され、金融や暗号資産、教育、技術分野など約100組織の関係者が標的となった。標的の多くは米国所在の組織だったが、対象地域は世界各地に及んだ。

　北朝鮮系攻撃者は2022年ごろから、暗号資産や分散型金融分野だけでなく、開発者そのものを狙う活動を継続してきた。偽の採用担当者になりすました接触、不正なnpmやPyPIパッケージ、改ざん済み暗号資産取引アプリなどを利用し、APIトークン、ウォレット、認証情報の取得を狙う手法が確認されていた。

　UNK_DeadDropは、既知の北朝鮮関連の脅威アクターと共通点を持つものの、Proofpointは独立した活動群として追跡している。

　攻撃メールにはGitHubや「GitLab」のURLが含まれていた。受信者は技術課題やコーディングテスト、オープンソースプロジェクトの査読依頼などを受け取り、対象リポジトリを取得して「Visual Studio Code」（VS Code）や「Cursor」で開くよう誘導された。

　確認されたなりすまし企業には、Ondo FinanceやEmpower Pharmacy、NXLog、OnePlan、Hypen Connect、Valon、Nourishが含まれる。後期の活動ではPulsynkやTrixauvexなど暗号資産関連企業を装い、コード査読依頼を送付していた。ERC-4626ボールトのテスト依頼や、AIエージェント用の決済システム開発案件を装う事例も確認された。

　分析対象となった10件のGitHubリポジトリは、暗号資産プラットフォーム、脆弱（ぜいじゃく）性検証資料、「Microsoft Foundry」のテスト環境、AI決済基盤の4分野に分類された。いずれも実在する標準仕様やフレームワークへの参照を含み、現実的なディレクトリ構成やスクリプトを備えていたため、正規プロジェクトのように見える作りとなっていた。

　Proofpointによると、感染の起点はリポジトリ内の隠しフォルダに配置されたtasks.jsonとされる。このファイルはVS Codeの自動実行機能を利用し、フォルダを開いたときにシェルスクリプトやコマンドを起動する。Cursorでは信頼確認画面が表示されず、フォルダを開くだけで処理が始まるケースが確認された。

　起動したスクリプトは不正なVSIX拡張機能をインストールする。この拡張機能は正規のGoogle関連サービスを装い、永続化機能を担う。攻撃者はVS Codeのタスク自動化機能と拡張機能機構を悪用し、マルウェア実行と維持を実現した。

　この他、「Linux」と「macOS」において、オープンソースのGo製コマンド＆コントロール（C2）フレームワーク「Overlord」を基盤とするRAT（Remote Access Trojan）が展開された。攻撃者はWebブラウザ認証情報窃取や暗号資産ウォレット窃取、痕跡削除の機能を追加していた。マルウェアはC2サーバとの継続的な通信を確立し、遠隔操作を受け付ける。

　macOS版はウォレット情報収集後、偽のシステムダイアログを表示して利用者のパスワード入力を促す。取得した認証情報を利用し、Webブラウザの保存情報やキーチェーン内のデータを取得した上で管理者権限を獲得し、追加情報を収集する仕組みであった。

　Linux版でも同様にウォレット関連情報を取得後、「Zenity」を利用したダイアログで認証情報を収集した。「GNOME Keyring」内の情報取得も試み、権限昇格後に追加の認証情報を収集した。

　「Windows」版はGo製バイナリを使用せず、「Electron」環境でNode.jsコードを実行する方式を採用した。VSIX拡張機能の導入後、暗号化済みペイロードを展開し、Webブラウザや暗号資産ウォレットの情報を収集する。35種類のウォレット拡張機能、18種類のウォレットアプリケーション、「Mozilla Firefox」や「Chromium」系のWebブラウザが対象となっていた。

　認証情報窃取機能はChromium系WebブラウザやMozilla FirefoxからパスワードやCookieを取得し、保護機能回避も試みる。収集したデータはHTTP通信を通じてC2サーバに送信された。

　インフラ面では多数のドメインが2026年4〜5月に登録され、登録直後から電子メール送信に利用された。ドメイン名は採用活動で使用した架空企業名に似せて作成されていた。一部では未完成のAI関連サイトも公開されていた。

　Proofpointは、開発者を狙う点やGitHub利用、VS Code機能の悪用、暗号資産窃取などの特徴が、北朝鮮系活動「Contagious Interview」と共通すると指摘した。ただし、電子メール主体の侵入手法、大量のリポジトリ生成、自律的に動作するペイロード、異なるインフラ構成などの差異も確認された。

　同社は、UNK_DeadDropが既存活動の発展形である可能性を否定していないが、現時点では独立した活動群として追跡を継続している。今回の事例は、北朝鮮系攻撃者による開発者標的活動の規模拡大と手法の高度化を示す事例として位置付けられている。