新種のトロイの木馬、Visual Studioプロジェクトをソフトウェアサプライチェーン攻撃のベクターに変貌させる

多段階型のトロイの木馬が、Visual Studioのプロジェクトファイルを武器化することで、ごく普通のソフトウェア開発ワークフローをサプライチェーン攻撃のベクターに変えつつあります。

Doctor Webの研究者らが報告したこのマルウェアは、2025年第4四半期に初めて検出され、以降も継続的に改良が加えられているとのことです。現在では、データ窃取、クリップボードハイジャック、バックドアアクセス、クリプトマイニング、そして自己増殖するファイル感染機能までもが1つのパッケージに統合されています。

攻撃はまずTrojan.DownLoader49.35384から始まります。このマルウェアは、トロイの木馬化された実行ファイル内でPEBウォーキングとiniterm関数テーブルを利用し、隠されたPowerShellペイロード(検知回避のために暗号化されている場合もあります)を起動します。

これと並行する亜種であるPython.Downloader.255は、感染した実行ファイルと共に配布されるPythonスクリプトの中で、空白文字による難読化の裏にFernet暗号化されたコードを隠しています。

この初期段階のペイロードが実行されると、Trojan.DownLoader49.35687がダウンロードされます。このコンポーネントはサンドボックス検知回避のチェックを行い、ミューテックスGlobal\PFNMXを作成した上で、攻撃者が平文またはBase64/XOR暗号化したドメインを投稿している公開GitHubリポジトリやSteamプロフィールからC2アドレスを取得します。

この第2段階のコンポーネントは、41種類の正規のSystem32プロセスのいずれかに自身を注入した後、中核ペイロードであるBackDoor.Siggen2.5906に制御を渡します。

この最終段階のペイロードは、Microsoft Edgeのコンポーネントを含むDLLやDiscordのprofapi.dllを上書きすることで永続化を図るほか、ms-settingsのレジストリハンドラを悪用したUACバイパスによって権限昇格も行います。

クリップボードの内容を常時監視し、銀行カード番号を窃取するほか、暗号資産ウォレットのアドレスを攻撃者が管理するアドレスへひそかに置き換えます。

ファイル窃取やリバースプロキシ、ディレクトリ一覧表示のほか、スクリーマー(驚かせる画像)の表示や強制的な音声再生といったユーザー嫌がらせ機能まで、さまざまなリモートコマンドを受け付けます。

また、XMRig、T-Rex、TeamRedMinerといったオープンソースツールを用いて、アイドル状態を検知した際にクリプトマイニングを展開します。そして特に注目すべきは、開発ファイルに感染し、接続されたシステムやコードベースへとさらに自己増殖していく点です。

このファイル感染機能こそが、このトロイの木馬を開発者コミュニティにとって特に危険な存在にしている要因です。

Dear ImGuiライブラリのimgui_impl_win32.cppを標的とし、起動行と併せてペイロードの行を注入するほか、Visual Studioの.suoユーザー設定ファイルをC2サーバーから取得した感染済みのファイルに置き換え、さらにWindows SDK内のwinnetwk.hに悪意あるコードを埋め込むことでネットワーキング機能を侵害します。

また、initerm関数を利用した第1段階のペイロードを標準の.exeファイルにも注入するほか、決定的な点として、.vcxprojおよび.csprojのプロジェクトファイルに悪意あるビルド前イベントを追加し、コンパイルのたびに悪意あるコマンドが自動的に実行されるようにします。

この設計は、ソフトウェア開発における本来的な信頼の連鎖を悪用したものです。開発者が感染したリポジトリを共有すると、それをクローンしたりビルドしたり、あるいはVisual Studioでプロジェクトを開いたりした人は誰でも、自動的に悪意あるビルド前イベントを発動させてしまいます。

埋め込まれたActiveXスクリプトによって、そのマシン自体がひそかに再感染し、さらにはその後コンパイルしてエンドユーザーに配布するソフトウェアにまで感染が及ぶ可能性があります。

Dr.Webは検知と駆除の能力を確認済みで、.vcxproj、.csproj、imguiファイルから悪意あるコードを、正規のプロジェクト機能を損なうことなく除去する消毒ルーチンも備えているとしています。

セキュリティチームは、ミューテックスGlobal\PFNMXおよびglobal\PFNX_sideの監視、共有プロジェクトファイル内に予期せず追加されるビルド前イベントの検知、そしてC2のデッドドロップ解決先として機能するGitHubのraw contentやSteamプロフィールページへの通信の監視を優先すべきです。

このトロイの木馬が2025年後半から活発に開発が続けられていることを踏まえると、C++やC#の共有コードベースに依存している組織は、ビルドパイプラインを監査し、サードパーティ製のプロジェクトファイルに対しても実行ファイルのダウンロードと同等の注意を払うべきです。

翻訳元: https://cyberpress.org/trojan-visual-studio-supply-chain-attack/

ソース: cyberpress.org