TokyoBlackHatNews

gbhackers.com 4分で読了

Megalodonマルウェアが5,500以上のGitHubリポジトリに急速に感染

新たに特定されたマルウェアキャンペーン「Megalodon」が5,500以上のGitHubリポジトリを侵害し、オープンソースエコシステムのセキュリティに関する深刻な懸念が生じています。

SafeDepのセキュリティ研究者は、マルウェアが正当に見える正当なプロジェクト内に隠された悪質なコード注入を通じて拡散し、無意識に感染したファイルをダウンロードして実行する開発者をターゲットにしていると報告しています。

Megalodonマルウェア、Githubリポジトリに感染

Megalodonキャンペーンは、GitHubの信頼されたプラットフォームを活用して大規模でマルウェアを配布しています。脅威行為者は数千のリポジトリを作成または乗っ取り、人気のあるツール、自動化スクリプト、違法なソフトウェアパッケージ内に悪質なスクリプトを埋め込んでいます。

これらのリポジトリは、説得力のあるREADMEファイル、ドキュメント、さらには偽のコミット履歴を備えた正当なものとして表示されることがよくあります。開発者がこれらのプロジェクトをクローンまたはダウンロードすると、マルウェアはバックグラウンドで実行され、悪質な活動の連鎖を開始します。

研究者は、このキャンペーンのスケールがその自動化により特に懸念されていることに注目しています。攻撃者は継続的に新しい感染したリポジトリをアップロードし、削除の努力を困難にし、マルウェアがプラットフォーム全体で持続することを可能にしています。

Megalodonマルウェアは、主にツールとコードスニペットのためにGitHubに頻繁に依存する開発者とIT専門家をターゲットにしています。感染は通常、ユーザーが以下のように偽装された悪質なスクリプトを含むリポジトリをダウンロードするときに開始されます:

  • ビルドスクリプトまたはセットアップファイル
  • Pythonパッケージまたはnpmモジュール
  • 違法なソフトウェアインストーラー
  • ゲームチートまたは自動化ツール

実行されると、マルウェアはシステム上に永続性を確立するペイロードを展開します。スタートアップ構成を変更したり、スケジュールされたタスクを作成したり、検出を避けるために正当なプロセスに注入したりする可能性があります。

観察された多くのケースでは、マルウェアはセキュリティツールをオフにしたり、エンドポイント検出システムを回避しようとしたりします。

  • ブラウザーとシステムメモリからの認証情報の収集
  • 人気のあるウォレットアプリケーションを対象とした暗号通貨ウォレット盗難
  • コマンド&コントロール(C2)サーバーを経由したリモートコマンド実行
  • 機密ファイルと環境変数を含むデータ流出
  • ランサムウェアまたは暗号マイナーなどのセカンダリペイロードの展開

マルウェアのモジュール設計により、攻撃者は再感染を必要とせずにその機能を更新または拡張できるため、非常に適応性があります。

侵害の指標(IOCs)

セキュリティアナリストは、Megalodonキャンペーンに関連するいくつかの指標を特定しています:

  • 不明なドメインまたはIPアドレスへの疑わしい発信接続
  • 一時的なディレクトリから実行されている予期しないシステムプロセス
  • 不正なスケジュールされたタスクまたはスタートアップエントリ
  • ダウンロードされたリポジトリ内の難読化されたスクリプトの存在

開発者は、未確認のソースからコードをダウンロードした後、システムの異常な動作を監視することをお勧めします。

感染のリスクを減らすために、組織と個々の開発者は次のセキュリティ慣行を採用する必要があります:

  • 貢献者の履歴とコミュニティトラストを確認してリポジトリの信頼性を確認する
  • GitHubから違法なソフトウェアまたは非公式ツールのダウンロードを回避する
  • 最新のアンチウイルスまたはエンドポイントセキュリティソリューションを使用してダウンロードされたすべてのコードをスキャンする
  • 実行前に信頼されていないコードをテストするためにサンドボックス環境を使用する
  • 開発者アカウントで多要素認証(MFA)を有効にする
  • 定期的にシステムとセキュリティツールを更新する

GitHubは特定された悪質なリポジトリの削除を開始したと伝えられていますが、キャンペーンの動的な性質は新しいものが継続的に出現することを意味しています。

Megalodonマルウェアは、攻撃者がソフトウェアサプライチェーンをターゲットにしているというより広い傾向を強調しています。GitHubなどの信頼できるプラットフォームを悪用することで、脅威行為者は従来のセキュリティコントロールをバイパスし、広い開発者オーディエンスに到達できます。

このインシデントは、信頼できるソースであっても実行前に検証する必要があるソフトウェア開発におけるゼロトラストの原則の重要性を強調しています。

オープンソースの採用が続く中、セキュリティ専門家は、同様のキャンペーンがより頻繁で洗練されるようになる可能性が高いと警告しており、プロアクティブな防御戦略が不可欠になっています。

翻訳元: https://gbhackers.com/megalodon-malware-rapidly-infects-over-5500-github-repositories/

ソース: gbhackers.com
#GitHub #Megalodon #オープンソース #サプライチェーン攻撃 #バックドア #マルウェア #リポジトリ侵害 #暗号通貨盗難 #認証情報盗難 #開発者セキュリティ

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚