ゲームチート、自動化ボット、管理「パネル」を装う11個の悪質なNuGetパッケージが、pepesoft.exeと呼ばれるWindowsペイロードを展開します。
これらのパッケージは.NETコマンドラインツールとして公開されており、ユーザーはdotnet tool installのワークフローを通じてインストールし、throne-runなどの同梱コマンドを実行できるようになっています。
影響を受けるパッケージは、Albion Online、GTA5RP、GrandRP、Majestic RP、Lineage 2、Russian Fishing 4、Throne and Liberty、および汎用のトリガーボットツールの各コミュニティを標的としています。
SocketはこれらのパッケージについてNuget社のセキュリティチームに報告し、削除および公開者アカウントの停止を要請しました。
Compliancemanagement tools
各パッケージにはtools/net8.0/any/以下に格納された第1段階の.NETダウンローダーが含まれています。このダウンローダーはロシア語のアップデートメッセージを表示し、複数回の実行を防ぐために共有ミューテックスを作成した上で、pepegit666というユーザー名に関連付けられた攻撃者管理下のGitHub ReleasesおよびHugging Faceの場所からpepesoft.exeをダウンロードします。
このダウンローダーは優先的にHugging Faceからペイロードを取得し、その後GitHub Releasesを試行します。また、同梱されているMonoTorrentとMonoを通じて、休眠状態のBitTorrent転送機能も備えています。
Natライブラリについては、解析されたビルドではマグネットリンクの値が空になっていました。
注目すべき回避手法として、GitHubからのダウンロード用ドメインの解決にGoogle DNS-over-HTTPSが使用されている点が挙げられます。マルウェアは被害者側で設定されたDNSリゾルバーに頼るのではなく、dns.googleに問い合わせを行い、返されたアドレスに接続します。
この手法によりローカルのhostsファイルによるブロックやDNSシンクホールを回避できる可能性がありますが、ネットワーク、プロキシ、TLS SNI、IPベースの制御によって検知することは依然として可能です。
11個のサンプルのうち10個は、隠れたPowerShellをrunas権限で呼び出し、Windows Timeサービスを起動して強制的に時刻の再同期を行います。
これはクロックのずれによるTLSエラーを減らす効果がある一方で、ペイロード取得前に予期しないUAC昇格プロンプトを発生させます。
第2段階の実行ファイルは、PyInstallerでパッケージ化されたPythonアプリケーションです。SocketはPyArmorで保護された8つのリリースと、Albion、Calculator、Throneに紐づく直接バイトコード形式の3つのビルドからペイロードを回収しました。
ペイロード全体を通じて、PepesoftはCloudflare Workerと、フォールバックとしてS3互換のSelectelストレージを介してリモート設定を取得します。
Socketの脅威調査チームは、ゲームユーティリティ、ボット、「パネル」を装って公開された、.NETコマンドラインツール(DotnetTool パッケージ形式)である11個の悪質なNuGetパッケージを分析しました。
11個の悪質なNuGetゲームチートパッケージ
ダウンローダーは環境変数を通じてAWS形式のアクセス認証情報や設定URLをペイロードに渡し、共有インフラとコードの定数によって各段階を結びつけています。
このマルウェアはGoogle Sheetsを、アクティベーション、ライセンス管理、ホストステータス、テレメトリのバックエンドとして使用しています。システムのUUID、ディスク情報、MACアドレス、ホスト属性からハードウェア識別子を生成し、攻撃者側がアクティベーションを特定のデバイスに紐づけられるようにしています。
Antivirus& Malware
また、リモートで管理されているハードウェアIDおよびUUIDのBANリストも確認しており、これにより攻撃者は特定のインストールをサーバー側から無効化する手段を持っています。
Socketの調査によると、直接バイトコード形式の3種のバリアントは、はるかに豊富なシステムデータを収集します。
これにはユーザー名、ホスト名、CPUおよびGPUの詳細情報、マザーボード情報、ディスプレイ設定、ネットワーク状態、アクティブウィンドウのメタデータ、パブリックIPアドレス、おおよその位置情報、実行時情報などが含まれます。
Albion、Calculator、Throneの各ペイロードには、aiogramを用いて実装されたTelegramボット機能も含まれています。
ボットの/startコマンドを操作したユーザーはローカルのチャットIDリストに追加される可能性があり、その後は事前定義されたコマンドによって、ゲームウィンドウ、アプリケーションウィンドウ、あるいは全画面のスクリーンショットを取得させることができます。
これは明白なプライバシー上のリスクをもたらします。スクリーンショットには、ブラウザのセッション、パスワードマネージャー、暗号資産ウォレット、認証プロンプト、プライベートチャット、リカバリーフレーズなど、デスクトップ上に表示されている機密性の高い内容が写り込む可能性があります。
同じバリアントにはOCR機能も含まれており、画面上の内容をテキストとして処理し自動化機能に利用できるようになっています。
この攻撃キャンペーンのインフラには、pepegit666/123f53y45ysdf34配下のGitHub releases、pepegit666配下のHugging Faceのパス、bots.pepesoft[.]ruにあるPepesoftのストアフロント、そしてt[.]me/pepesoft777のTelegramチャンネルが含まれています。
このペイロードはまた、設定情報の配信のためにCloudflare WorkerとSelectel S3のエンドポイントも参照しています。
組織はNuGetツールのインストール状況を確認し、pepesoft.exeの予期しない実行がないか調査するとともに、開発ツールのプロセスによるdns.googleへのDNS-over-HTTPSリクエストを監視し、既知の攻撃用インフラをブロックすることが推奨されます。
侵害指標(IOC)
| 種別 | 識別子 |
|---|---|
| 悪質なNuGetパッケージ | albion-x-x |
| 悪質なNuGetパッケージ | amazing-x-x |
| 悪質なNuGetパッケージ | calc-x-x |
| 悪質なNuGetパッケージ | grandrp-x-x |
| 悪質なNuGetパッケージ | gta5rp-x-x |
| 悪質なNuGetパッケージ | l2-x-x |
| 悪質なNuGetパッケージ | majestic-x-x |
| 悪質なNuGetパッケージ | rmrp-x-x |
| 悪質なNuGetパッケージ | rusfish4-x-x |
| 悪質なNuGetパッケージ | throne-x-x |
| 悪質なNuGetパッケージ | trigger-x-x |
| 攻撃者のユーザー名/NuGetアカウント | pepegit666 |
| GitHubプロフィール | github[.]com/pepegit666 |
| GitHubリポジトリ | github[.]com/pepegit666/123f53y45ysdf34 |
| Hugging Faceプロフィール/バケットパス | huggingface[.]co/buckets/pepegit666 |
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])としています。再度有効な表記に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス環境内でのみ行ってください。
2019年当時のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめましょう ― 2026年版AI SLA ベンダーチェックリストはこちら ― 無料の AI SOC SLA ガイドをダウンロード
NetworkSecurity
翻訳元: https://gbhackers.com/11-malicious-nuget-game-cheat-packages/