脅威アクター、GitHubで数百のブランドになりすまし、インフォスティーラーを拡散

金銭目的の脅威アクターがGitHub上で数百のブランドになりすまし、人気ソフトウェアの正規ダウンロードを装った「スマッシュ・アンド・グラブ」型インフォスティーラーを拡散していることが、Arctic Wolfの脅威研究者らの調査で明らかになりました。

「なりすまされた292件のリポジトリは、セキュリティツール、フィンテック・個人資産管理、暗号資産ウォレット・取引所、開発者向け・生産性向上ツール、セキュアメールプロバイダー、macOSユーティリティ、そして『チート』ツールを含むゲーミングソフトウェアなど、多岐にわたる分野をカバーしています」と同社は述べています。

攻撃の手口

これらのリポジトリの中にはArctic Wolf自身になりすましたものもあり、それをきっかけに同社は調査を深め、このキャンペーンの全容を記録するに至りました。

Image

偽Arctic Wolf GitHubリポジトリに掲載されていたREADMEファイル(出典:Arctic Wolf)

研究者らは、標的候補がSEO最適化された検索エンジンの検索結果を通じてこれらのGitHubページへ誘導されていることを突き止めました。

「各リポジトリにはREADMEドキュメントが掲載されており、そこには隠されたダウンロードリンクが仕込まれています。このリンクは*.github.ioページと脅威アクターが管理する配布ドメインを経由して、被害者を偽の『安全なダウンロード』ページへと導きます」と同社は説明しています

「このページは大容量のZIPアーカイブを配信しますが、そのファイル名とペイロードはおよそ60秒ごとに再生成されます。このアーカイブには、正規の署名付きWinGUPアップデーター(実体はgup.exeで、なりすまし対象の製品名に毎回リネームされます)と、トロイの木馬化されたlibcurl.dllが同梱されています。ユーザーがこの実行ファイルを起動すると、gup.exelibcurl.dllをサイドロードし、これが埋め込まれた[Windows向け]インフォスティーラーをデコードして、メモリ上でリフレクティブに実行します」

このインフォスティーラーは、これまでに報告されているBoryptGrabインフォスティーラーマルウェアとコードベースを共有しており、11個のモジュールを備え、以下のような情報を収集する能力を持っています。

  • 感染したシステムおよびインストールされているソフトウェアに関する情報
  • Chrome、Edge、Brave、Yandex、Vivaldi、Chromium、Tor、Epic、Opera、Opera GX、Firefoxなど、各種ブラウザに保存された認証情報・Cookie
  • インストール済みブラウザ拡張機能のローカルストレージ・設定データ(多種多様な暗号資産ウォレット拡張機能を含む)
  • Steamセッショントークン、Meta Max(メッセンジャー)の認証情報、Discordトークン、Telegramデータ
  • 「password」「passwords」「seeds」「keys」「wallet」「backup」「recovery」といった単語を含む、デスクトップおよびドキュメントフォルダ内のファイル
  • Windows資格情報マネージャーに保存された認証情報

これらのデータはすべて、ロシアでホストされているC2サーバー(ハードコードされたIPアドレス:193.143.1[.]131)へと窃取されます。

「静的解析の結果、Runキーやスケジュールタスクの登録、Windows Defenderの除外設定の書き込み、仮想マシン(VM)やデバッガの検知処理、プロセス名のブロックリストといったものは一切見つかりませんでした。このインプラントは純粋な『スマッシュ・アンド・グラブ』型インフォスティーラーであり、一度の実行ですべてのデータを収集・窃取し、足場は一切構築しません」とArctic Wolfは指摘しています。

「ただし、収集したすべてのデータと自らの動作ログ(browser_decryption.logsends.log)を一時的な出力フォルダに保存し、その後もそのフォルダを削除しないため、ディスク上に復元可能な痕跡が残ります」

ユーザーや管理者は、このフォルダの存在を確認することができます。もし存在すれば、そのシステムは侵害されています。

「サンプルを実行してしまったホストについては、認証情報、ブラウザセッション、暗号資産ウォレットの鍵をすべてローテーションしてください。ブラウザに保存されたパスワード、Cookie、ウォレット、Discordトークン、Steamトークン、Telegramセッション、Meta Max認証情報、Windows資格情報マネージャーの登録情報は、すべて完全に漏えいしたものと想定すべきです」と研究者らは助言しています。

GitHub上での後手に回る「もぐら叩き」対応

研究者らは、なりすまされたベンダーやブランド側には一切の落ち度がないことを強調しています。脅威アクターは彼らの製品のソフトウェア脆弱性を悪用しているわけではないためです。

脅威アクターが悪用しているのは、これらのベンダーが築いてきた信用と、検索エンジンの検索結果やMicrosoft傘下のGitHubホスティングサービスに対するユーザーの信頼そのものです。

研究者らは、攻撃者が自動化ツールを使って使い捨てのアカウントや組織を登録しているとみています。また、偽のダウンロードページやREADMEファイルの作成、github.ioリダイレクター用アカウントの作成に、攻撃者がLLMを使用している可能性は低いとも述べています。

このキャンペーンに関連する言語的特徴やホスティングの痕跡は、ロシア語を話す攻撃者を示唆していますが、既知の脅威アクターやグループとの関連付けには至っていません。

このキャンペーンは2026年6月26日に始まり、現在も継続しています。

「私たちは偽の『Arctic Wolf』ページを削除対象として報告し、GitHubは速やかにこれを削除しました」と研究者らは述べており、報告した悪意あるリポジトリの相当数についてもGitHubがすでに削除を行ったとしています。

しかし、削除はあくまで事後対応であり、新たなアカウントを立ち上げるのに攻撃者側のコストはかかりません。GitHubが人気ブランドになりすました悪意あるリポジトリを事前に発見・削除する仕組みを強化するまでは、ダウンロードするものを自ら確認する負担がユーザーや従業員に課され続けることになります。

Arctic Wolfの助言は、ソフトウェアはベンダーが検証済みの正規チャネルからのみ入手すること、そして作成日が新しく、コミット履歴がまばらで、宣伝文句のようなREADMEを持つ.githubプロファイルのリポジトリは、原則として疑ってかかることです。

偽装された信頼バッジや「安全なダウンロード」ページは容易に偽造でき、何の証明にもならないと同社は付け加えています。そして最も有用な鉄則は、たとえ誰の名前が冠されていようとも、正規のインストーラーはZIPアーカイブの中の実行ファイルを直接実行させるようなことはしない、という点です。

同社は、このマルウェア配布キャンペーンに関連する不正活動を検知するための侵害指標(IoC)とYaraルールを公開しています

翻訳元: https://www.helpnetsecurity.com/2026/07/15/impersonated-brands-github-infostealer-download/

ソース: helpnetsecurity.com