海外のリモートワーク求人サイトでの案件でサイバー攻撃に遭いかけた人の話
🍪🍺@cookieandbeer国際犯罪の被害に遭いかけたので注意喚起です!海外サイト(WeWorkRemotely)で良さげな案件を探していて、出会ったクライアントとビデオ通話した後「早速今の実装見てみてほしい」という話になりました。もう遅いし明日にして今日は飲むか〜と思っていたら「すぐチェックしてほしい」という連絡がpic.twitter.com/bRhXJkFEGX
2024-07-20 16:41:25🍪🍺@cookieandbeerしょうがないにゃあ…と思いつつまずは親の顔より見た setupTest.js を見るとそこには変わり果てた姿が……偶然昼までMarkdown書き物をしてたためVSCodeの折り返しを有効にしていたので気づきましたが、普段無効にしてるときだったらこんなふうに見えるので気づくのは難しそうpic.twitter.com/fbk3og3Dml
2024-07-20 16:42:51🍪🍺@cookieandbeer露骨に難読化されてるのでとりあえずjs-deobfuscateしてみる。Base64に毛が生えたものでキーワードを隠してるのでそれをほどいてやると、child_process.execとかrequestとかイヤな感じの文字列がいろいろ出てくる。setupTest.jsから子プロセスを起動する場面、普通はない。怪しいpic.twitter.com/zy5bA20IJZ
2024-07-20 16:45:57🍪🍺@cookieandbeer難読化された文字列のデコード関数はn,lの2種類あり「1文字目を切り詰めてBase64デコード」と「切り詰めないでデコード」の違い。文字列リテラルとデコード関数だけ抽出して見るとこんな感じ。左からリテラル、nでデコード、lでデコード。見たところ主要なブラウザのプロファイルやkeyringとかが標的pic.twitter.com/3rjxNyw3tf
2024-07-20 16:50:12🍪🍺@cookieandbeerSolanaのファイルもあるけど、普通にウォレット使ってるだけでこんなとこに大事な情報置くかな? Solanaに詳しい人おしえてくださいpic.twitter.com/YSpyKTTIzj
2024-07-20 16:51:01🍪🍺@cookieandbeer気になるのでもうちょっとだけ深掘り。execやrequestなど危なそうな関数を引数をログるだけの関数に差し替えて実行してみる。ログを見るとやはりいろんなファイルを舐めて request․post() で送信してるらしい。送信先のホストも確認できるpic.twitter.com/VmreiEt5qi
2024-07-20 16:56:43🍪🍺@cookieandbeerIPアドレスで検索すると北朝鮮のLazarus Group に使われてるホストだという説に辿り着いた。こういうフリーランスのブロックチェーンエンジニアを標的にした攻撃は今年の5月頃から流行してるらしい。完全に同一の手法ではないものの9億ドル相当の暗号資産を詐取された被害例もあるとのことpic.twitter.com/Blfo1PGznz
2024-07-20 16:57:41🍪🍺@cookieandbeerこうしている間にも「もう実行した???」と連絡がくる。Telegramでの連絡を希望なのも改めて考えたら怪しいんだけど、Google Meetsで通話もしていたので極端に不審には思わなかった。ただ、通話はカメラオフだったpic.twitter.com/kKTAZqvmHr
2024-07-20 16:58:59🍪🍺@cookieandbeer実は類似の事例が直近もう1件あって、ほぼ同様の流れで同じようなコードベース(一方はReact/Express, もう一方はNext)だった。攻撃コードの配置場所にも違いがある。こっちのコードはまだ精査してないけど、同種の手法とみて良さそう。このアドレスも北朝鮮の攻撃グループと関連づける記事があるpic.twitter.com/Odia6wfgSc
2024-07-20 17:00:51🍪🍺@cookieandbeerこの攻撃者には「ウォレットが入ってるPCと入ってないPC、どっちで作業したほうが良いですか?😊」とカマをかけてみた。前者を激推ししてくると思いきや、意外に「どちらでもOK」との返事。ただし「早ければ早いほど良い」ともいうpic.twitter.com/TBS2awJgkk
2024-07-20 17:03:10🍪🍺@cookieandbeerマルウェアを仕込まれてしまった可哀想な会社の可能性を排除するために「なんか変なコード入ってますよ」と伝えてあげたところ、それ以降の連絡はなかった。とはいっても、踏み台被害に気づいて法務担当者と協議中の可能性もあるので、相手の特定に繋がる情報は伏せておきます
2024-07-20 17:04:55結局どういうことだったんだろう
🍪🍺@cookieandbeer察するに、この人たちは北朝鮮のハッカーではなく、Lararus Groupが作ったツールを使って攻撃しデータの不正送信に成功すれば報酬を受け取れる約束で動くいわば「受け子」のようなポジションで、より期待利益の高いPCを攻撃することにこだわらなかったのはそのためではないか
2024-07-20 17:05:13🍪🍺@cookieandbeerブロックチェーン開発者が期待利益の高い標的集団なのかはともかく、一般に開発者は他人が書いたコードを実行したりインターネットから curl で持ってきたスクリプトを実行する機会が多く、抵抗感を持ちづらい。フリーランサーとの契約に際してという状況も加味して違和感を抱きづらいシナリオだと思う
2024-07-20 17:05:48🍪🍺@cookieandbeer開発者一般でいえば潜在的な攻撃リスクに気付きやすい集団でもあるので成功率が特に高いかは微妙だが、ブロックチェーン開発者は暗号資産で報酬を受け取る場面がままあり、DEXの存在や相対取引に第三者を介する余地が少なく送金が成功しやすいとすれば、総合的な期待利益は通常より大きいのかも
2024-07-20 17:08:02🍪🍺@cookieandbeerReddit などでは何度か見かけているものの、日本語の記事等はあまり見つけられなかったので書いてみました。皆さんもソーシャルエンジニアリングにはぜひ気をつけてください。良い夏を。
2024-07-20 17:08:26🍪🍺@cookieandbeer追記。攻撃コードはGitHubリポジトリへの招待で共有されました。どちらも既にサポートに通報済みで、現時点でアクセス不可です(通報より処分されたのか相手が勘付いて正体取り消したのかは不明)。どちらもコミット1件のみで「スキルテスト用の抜粋コード」との説明がありました。
2024-07-21 16:41:00🍪🍺@cookieandbeerまた、私が見たのとは別にほぼ同じ攻撃コードを含む別のリポジトリが現存していて(案件名でググったら出てきた)攻撃用のツールとして出回っているという仮説を支持しているように思います。誤って実行してしまう危険があるのでURLは伏せますが、興味ある方には個別に伝えます
2024-07-21 16:44:12🍪🍺@cookieandbeer個人的に気になるのは、攻撃コードをリポジトリに直接含む必要性。JS開発者は流れるようにnpm installするので、攻撃コード入りのnpmパッケージを作って依存関係に入れとけばリポジトリには不審なコードが一切なくても攻撃は成功するのでは。報酬分配用に末端攻撃者を区別するIDを入れたりしたいのかな
2024-07-21 16:47:37🍪🍺@cookieandbeerなおWeWorkRemotelyにも通報しましたが、今のところ案件ページは掲載されたままです😇同サイトを使用している方は危険回避のためにDMで当該会社名お伝えできます(まだ攻撃者と断定できないので公には書かないことにします)
2024-07-21 16:48:19🍪🍺@cookieandbeer類似の事例。これはビデオ通話を装う攻撃アプリをダウンロードさせる手法でまだ警戒できる。作業対象のソースコードに難読化コードを仕込む手法もあって、開発者だと警戒緩みがちx.com/cheenanet/stat…
2024-07-20 17:24:32Cheena@cheenanet日本のWeb3ベンチャーキャピタル社員のアカウントを(おそらく)ハッキングして、その界隈で仕事のオファーを装って通話ソフトウェアをダウンロードさせウォレットから資金を盗む手口。最近も似たの見たけど実在の垢盗んで連絡取るのは初めて見た。ご本人の垢がその時期で転生してるし本物だったんだろうx.com/h4wk10/status/…
2024-07-20 15:42:54Cheena@cheenanet日本のWeb3ベンチャーキャピタル社員のアカウントを(おそらく)ハッキングして、その界隈で仕事のオファーを装って通話ソフトウェアをダウンロードさせウォレットから資金を盗む手口。最近も似たの見たけど実在の垢盗んで連絡取るのは初めて見た。ご本人の垢がその時期で転生してるし本物だったんだろうx.com/h4wk10/status/…
2024-07-20 15:42:54h4wk@h4wk10Hey guys,Today, I had a terrible experience to share... I was scammed over $10K++ !!!A few days ago, a Japanese guy using the name "0xTakumi" (x.com/negitamai?s=20), who used the image below as his profile picture on his company website, contacted me and expressed an interest in working with me.He also sent me information about his company (website:skyland.vc ) and his team.He scheduled a video call with me today at 8:00 p.m. (Australian time). (Before meeting with him, I had researched information about his real identity, such as his Facebook account and the company.)When the meeting time arrived, he said he was in China and would be unable to video call with me via “Kakao”. If we have to make international calls, I'll need to install another version of Kakao.After that, he sent me the software link named “Kakao Corporate”. At first, I refused to install the program, but he convinced me that it was just a chat program that most people in China use to call international people.After I installed the program, the money in my all wallets got drained (all my Phantom and Metamask wallets). Within 10 minutes, my money was drained out of more than 10k++ USD *from multiple tokens*. Moreover, the software automatically cuts off my internet. I can only transfer money distributed on multiple platforms to my hardware wallet using my another laptop.He also hacked my X’s account. He deleted my posts, and all my chats, and blocked some of my followers and following. Even though I can now recover my account, all of my chat and many of my posts are deleted.I hope my experience is useful to everyone.Please live your life carefully.
2024-07-20 02:16:47
これは怖い
掲載ポストについて
Togetterは、X社が提供するEnterpriseAPIを購入して、ポストを正式に取得・利用しています。Xユーザは、Xの利用規約によりAPI経由でのポストの再利用を許諾しており、その対価を請求してはならないことになっております。まとめ作者はポストの使用に際して最大限の配慮と誠実な対応を実施し、安心・安全な状態を維持いたします。
あわせて読みたい
経産省が公表した「フリーランスとして安心して働ける環境を整備するためのガイドライン」はフリーランスじゃない人も必読らしい
12377161837 users1182唐辛子がおちんちんについて死にかけた時に「科学の知識」を駆使して致死ダメージを回避した話…「ブータンではよくあること」の反応も
15814555 users287「底辺の仕事」がまた話題ですが、これこそが本当の「職業高低ランキング」です「これは認めるしかない」
30413399 users120応募者多数により一時的に募集を停止いたします今後ともよろしくお願いします