Check Pointの研究者らは、GitHubの活動実績を水増しし、ソフトウェアレビューやYouTubeのチュートリアル動画、VirusTotalへの好意的なコメントを組み合わせることで、悪意のある取引・ギャンブルツールを信頼できるように見せかけた暗号資産窃取マルウェアキャンペーンを発見しました。
研究者らによると、攻撃者はマルウェアを「ユーザーが利益を得るためのツール」として包装していました。具体的には、暗号資産スナイパーボットや、他のトレーダーより先に好機を察知できると謳うギャンブル「予測ツール」などが用意されていました。後者はオンラインベッティングゲームの結果を事前に予測できると主張するものでした。
しかし、素早い利益を得られるどころか、これらのツールはWindowsとmacOS向けに構築されたRust製のクリップボードハイジャッカー(クリッパー)を仕込んでいました。このマルウェアはクリップボードを常時監視し、暗号資産ウォレットアドレスが検出されると、内部に保持する大量のアドレスリストから攻撃者が管理するアドレスにすり替えます。
内部リストには、ビットコイン、イーサリアム、モネロ、ドージコイン、カルダノ、ライトコインなど多様な暗号資産を対象とした15,500件以上のウォレットアドレスが含まれていました。
「攻撃者のウォレットはかなり頻繁に入れ替えられているようです。多くのケースで、悪意のあるトランザクションが完了すると、使用済みのウォレットを新しい『クリーン』なものに切り替えているようです」と研究者らは記しています。
この攻撃が際立つ点は、正規のツールに見せかけるために費やされた手間の多さです。WordPressのフィッシングサイトがキャンペーンの玄関口となり、GitHubやSourceForgeのリポジトリがダウンロードを提供しつつ、スター数・フォーク数・評価・ダウンロード数といった人気の証を演出していました。
同じツールはAI生成ナレーションを採用したYouTubeチャンネルでも宣伝され、一部のマルウェアサンプルはVirusTotal上でも「安全」と評するコメントや好意的な投票を受けていました。
「VirusTotalのようなプラットフォーム上の評判や感情を操作できるという点は、脅威アクターが信頼を形成する手法において重要な進化を示しています」と研究者らは付け加えています。
偽GitHubスターによる暗号資産マルウェアの拡散
この攻撃の中核をなすのが「ゴーストネットワーク」と呼ばれる手法です。複数の連携アカウントを使い、悪意あるツールのスター数・レビュー・ダウンロード数などの人気指標を人為的に底上げしていました。
「攻撃者は少なくとも6つのGitHubアカウントを使って悪意あるソフトウェアを宣伝・配布しています。これらのアカウントは互いのリポジトリのコントリビューターとして登録されており、連携して活動しているとみられます」と研究者らは述べています。
キャンペーンに関連するGitHubリポジトリでは5,000件以上のダウンロードが記録されており、そのうち人気のアビエーター倍率ゲームの結果を予測すると称するソフトウェア「Aviator Predictor」のmacOS版だけでも1,250件以上のダウンロードがありました。これはMacユーザーも被害を受けている可能性を示しています。
ツールはフィッシングサイトとSourceForgeを通じても配布されていました。SourceForgeでは組織的な高評価レビューと水増しされたダウンロード数が確認されており、44,000件以上のダウンロードが記録されています。その大部分はパキスタンとインドから発生しているとされています。
SourceForgeでの好意的なエンゲージメント(出典:Check Point)
44,000件以上の記録されたダウンロードのうち、約37,460件はAndroidデバイスからのものとみられます。しかし、配布されたソフトウェアはWindowsおよびmacOS向けのみで、Android版は提供されていませんでした。
研究者らは、この矛盾についてAndroidデバイスファームを使ってダウンロード数を水増しした可能性を指摘しています。
YouTubeチュートリアルとニュースサイトを使った宣伝活動
攻撃者はさらに、9万1,000人以上のチャンネル登録者を持つYouTubeチャンネルを通じてツールを宣伝していました。動画は個人チュートリアルとして制作されており、ソフトウェアの操作画面やマウスの動きをそのまま映しながら実演しています。AI生成のナレーターが画面の隅に映り、視聴者を順を追って案内する形式となっていました。
AI生成ナレーター(出典:Check Point)
「画面上の実際の操作とAIが生成した進行役を組み合わせることで、潜在的な被害者に対してデモンストレーションをより本物らしく、説得力があるように見せようとしているとみられます。」
2026年4月27日には複数のニュースサイトにこのツールを宣伝する投稿が掲載されており、短期間に集中して悪意あるソフトウェアを拡散させようとする組織的な動きがうかがえます。その後、大半の記事は削除されており、検索結果に痕跡を残すのみとなっています。
「このキャンペーンが大企業を主な標的としていないとしても、攻撃者がもはや従来型のマルウェア配布手法だけに頼っていないことは明らかです。代わりに、評判システムや集合知に基づくフィードバック、クロスプラットフォームのプロモーションを巧みに操作することで、ユーザーの警戒心を下げ、より多くのターゲットを引き寄せているのです」と研究者らは結論づけています。
Check Pointはキャンペーンに関連する侵害指標(IoC)を公開しており、防御担当者が関連する活動を特定する際の参考情報として提供しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/19/fake-github-stars-crypto-stealing-malware/
