ゲーマーと開発者を標的にしたキャンペーンで67のトロイの木馬化されたGitHubリポジトリが発見される

サイバーセキュリティ研究者は、脅威アクターがPythonベースのハッキングツールを提供すると主張する67以上のGitHubリポジトリを公開し、代わりにトロイの木馬化されたペイロードを配信する新しいキャンペーンを発見しました。

ReversingLabsによってBanana Squadとコードネームが付けられたこの活動は、2023年にPython Package Index (PyPI) リポジトリをターゲットにした偽のパッケージを使用した不正なPythonキャンペーンの継続であると評価されています。このパッケージは75,000回以上ダウンロードされ、Windowsシステムで情報を盗む機能を備えていました。

この発見は、2024年11月にSANSのインターネットストームセンターからの以前の報告に基づいており、GitHubにホストされた「steam-account-checker」ツールが、Exodus暗号通貨ウォレットアプリに悪意のあるコードを注入し、外部サーバー（”dieserbenni[.]ru”）に機密データを収集するための追加のPythonペイロードをダウンロードするステルス機能を組み込んでいると詳細に述べられていました。

リポジトリと攻撃者が制御するインフラストラクチャのさらなる分析により、同じ名前の無害なリポジトリを装った67のトロイの木馬化されたGitHubリポジトリが発見されました。

アカウントクリーニングツールやゲームのチート、例えばDiscordアカウントクリーナー、Fortniteの外部チート、TikTokユーザー名チェッカー、PayPalの大量アカウントチェッカーなどのソフトウェアを検索しているユーザーがこのキャンペーンのターゲットであることを示す証拠があります。特定されたリポジトリはすべてGitHubによって削除されました。

“GitHubのような公開されているソースコードリポジトリにおけるバックドアやトロイの木馬化されたコードはますます一般的になっており、成長するソフトウェアサプライチェーン攻撃ベクトルを表しています。”とReversingLabsの研究者Robert Simmonsは述べました。

“これらのオープンソースプラットフォームに依存する開発者にとって、使用しているリポジトリが実際に期待しているものを含んでいるかどうかを常に確認することが重要です。”

マルウェア配信サービスとしてのGitHub#

この開発は、GitHubがますます注目されるマルウェア配信ベクトルとしてのキャンペーンの焦点となっている中で行われました。今週初め、Trend Microは、Water Curseと呼ばれる脅威アクターが運営する76の悪意のあるGitHubリポジトリを発見し、マルチステージマルウェアを配信していると述べました。

これらのペイロードは、資格情報、ブラウザデータ、セッショントークンを盗み、脅威アクターに対して侵害されたシステムへの持続的なリモートアクセスを提供するように設計されています。

その後、Check Pointは、Stargazers Ghost Networkと呼ばれる犯罪サービスを使用してMinecraftユーザーをJavaベースのマルウェアで標的にしている別のキャンペーンに光を当てました。Stargazers Ghost Networkは、フィッシングリポジトリを通じてマルウェアや悪意のあるリンクを拡散するGitHubアカウントの集合を指します。

“このネットワークは、悪意のあるリンクやマルウェアを配布し、悪意のあるリポジトリを合法的に見せるためにスターを付けたり、フォークしたり、購読したりするなどのアクションを実行する複数のアカウントで構成されています。”とCheck Pointは述べました。

サイバーセキュリティ企業はまた、このような”GitHub ‘Ghost’アカウントは、さらに大きなDistribution-as-a-Serviceユニバースの一部として、他のプラットフォームで動作する他の’Ghost’アカウントと共に、全体像の一部に過ぎないと評価しています。

Stargazers Ghost Networkのいくつかの側面は、2024年4月にCheckmarxによって暴露され、脅威アクターが偽のスターを使用し、頻繁に更新をプッシュしてリポジトリの人気を人工的に高め、GitHubの検索結果で上位に表示されるようにするパターンを指摘しました。

これらのリポジトリは、通常人気のあるゲームやチート、暗号通貨の価格トラッカーやクラッシュベッティングゲームの乗数予測ツールなどに関連する合法的なプロジェクトとして巧妙に偽装されています。

これらのキャンペーンはまた、GitHubでバックドア化されたリポジトリを使用して情報スティーラーで感染させるために、すぐに利用可能なマルウェアや攻撃ツールを探している初心者のサイバー犯罪者を標的にした別の攻撃波と一致しています。

今月Sophosによって強調されたある例では、トロイの木馬化されたSakura-RATリポジトリが、情報スティーラーやその他のリモートアクセス型トロイ（RAT）でシステム上でマルウェアをコンパイルした人々を危険にさらす悪意のあるコードを組み込んでいることが判明しました。

特定されたリポジトリは、Visual Studio PreBuildイベント、Pythonスクリプト、スクリーンセーバーファイル、JavaScriptに埋め込まれた4種類のバックドアの導管として機能し、データを盗み、スクリーンショットを撮り、Telegramを介して通信し、AsyncRAT、Remcos RAT、Lumma Stealerを含むさらなるペイロードを取得します。

全体として、サイバーセキュリティ企業は、このキャンペーンの一環として少なくとも133のバックドア化されたリポジトリを検出し、111がPreBuildバックドアを含み、他はPython、スクリーンセーバー、JavaScriptバックドアをホストしていると述べました。

Sophosはさらに、これらの活動は、2022年8月から運営されているdistribution-as-a-service (DaaS) オペレーションに関連している可能性が高く、ゲームのチート、エクスプロイト、攻撃ツールをテーマにしたトロイの木馬化されたリポジトリに埋め込まれたマルウェアを配布するために何千ものGitHubアカウントを使用していると指摘しました。

キャンペーンで使用された正確な配布方法は不明ですが、脅威アクターがDiscordサーバーやYouTubeチャンネルを利用してトロイの木馬化されたリポジトリへのリンクを広めていると考えられています。

“このキャンペーンが以前に報告されたキャンペーンの一部またはすべてに直接関連しているかどうかは不明ですが、このアプローチは人気があり効果的であり、何らかの形で続く可能性が高いです。”とSophosは述べました。”将来的には、焦点が変わり、脅威アクターがチートを使用する未熟なサイバー犯罪者やゲーマー以外のグループを標的にする可能性があります。”