実在ソフトウェアを装う不正なGitHubリポジトリが数百件確認、マルウェア拡散に悪用


  • ArcticWolfは、正規のツールや製品になりすました292件の悪意あるGitHubリポジトリを発見。新種のインフォスティーラー「BoryptGrab」の亜種を配布していた
  • このマルウェアは19種類のブラウザ、32種類の暗号資産ウォレット、メッセージングアプリ、Steam、Windows資格情報マネージャーから情報を窃取し、コードインジェクションによってChromeのApp-Bound Encryptionを独自の手法で回避する
  • 大半のリポジトリはすでに削除されたが、一部は依然として稼働中。GitHubの人気の高さが標的にされやすい要因であり、利用前にコードを検証する必要性を改めて浮き彫りにしている

ロシアの攻撃者が、正規ソフトウェアを装いながら実際には危険なインフォスティーラーとして機能する、悪意あるGitHubリポジトリを数百件作成していたと報告されています。

セキュリティ研究者集団ArcticWolfは、自社製品がなりすましの対象になっていたことをきっかけに、このキャンペーンを発見しました。

研究者らは合計292件の偽リポジトリを発見しました。セキュリティ製品、開発者向けツール、macOSユーティリティ、ゲームなど、さまざまなものになりすましていました。各リポジトリにはダウンロードURLを記載したREADMEファイルが含まれていました。

一目で分かる悪質性

被害者がこのプログラムをダウンロードすると、BoryptGrabインフォスティーラーファミリーの亜種が仕込まれます。このマルウェアは19種類のブラウザからパスワード・Cookie・決済情報を窃取するほか、32種類の暗号資産ウォレット、Telegram、Discord、Steamのセッション情報、MetaのMaxの認証情報、Windows資格情報マネージャーのデータなどを盗み出します。さらに、デスクトップやドキュメントフォルダからファイルを窃取し、スクリーンショットも取得できます。

これらの機能の大半は他のBoryptGrab亜種にも見られるものですが、今回の亜種はブラウザプロセスへの直接的なコードインジェクションによってChromeのApp-Bound Encryptionを回避できる点で独特です。

攻撃者がロシア系であると明言されているわけではありませんが、圧縮されたデータは最終的にロシアを拠点とするコマンド&コントロール(C2)インフラに送信されています。

また注目すべき点として、このマルウェアは長期間の活動を意図した設計にはなっていません。解析対策の仕組みは一切なく、特定の手段で自身を隠そうともしていません。永続化の仕組みも確立せず、最初の一撃でできる限り多くの機密情報を奪い取ることだけを狙った作りになっています。

この攻撃は6月末頃に始まったとみられ、悪意あるリポジトリの大半がすでにGitHubから削除されたことで、ほぼ阻止された状態にあります。「研究者」の話として、BleepingComputerは、それでも数十件は依然として稼働中であると報じています。

オープンソースコミュニティにおける重要性と人気の高さから、GitHubは現在インターネット上で最も標的にされやすいプラットフォームの一つとなっています。だからこそ、プロジェクトにコードを組み込む前には、その一つひとつを入念に確認し検証することが重要です。

翻訳元: https://www.techradar.com/pro/security/hundreds-of-github-repos-found-posing-as-real-software-to-push-malware

ソース: techradar.com