サイバーセキュリティ研究者によって、合法的なハッキングツールに偽装した悪意のあるPythonコードを配布するためにGitHubを悪用する新しいキャンペーンが発見されました。
Banana Squadとして知られるグループに関連するこの作戦は、無害なオープンソースプロジェクトを模倣したトロイの木馬化されたファイルをホスティングする67のリポジトリを使用しました。
ReversingLabsによって発見されたこのキャンペーンは、オープンソースソフトウェアのサプライチェーン攻撃の変化を反映しています。PyPIやnpmのようなリポジトリへの悪意のあるアップロードの全体的な量は減少していますが、攻撃者は今やGitHubのようなプラットフォームを狙うためにより隠密な戦術を活用しています。
この場合、脅威アクターはGitHubのインターフェースを悪用して、長いスペース文字列を使用してバックドアコードを隠し、通常の表示では悪意のあるコンテンツを見えなくしました。
Banana Squadは、2023年後半にCheckmarxによって最初に特定され、その年の初めにPythonリポジトリにアップロードされたWindowsをターゲットにした一連のマルウェアパッケージで既に注目を集めていました。これらのパッケージは削除される前に約75,000回ダウンロードされました。
この新しいキャンペーンでは、名前が正当なものと同一に見えるリポジトリを使用しました。
各GitHubアカウントは通常1つのリポジトリしかホストしておらず、それが偽物であり、悪意のあるコンテンツを配信するためだけに作成された可能性が高いことを示しています。これらのアカウントには、テーマ関連のキーワード、絵文字、ユニークで動的に生成された文字列を含む「About」セクションが含まれていることがよくあります。
研究者は、特にdieseerbenni[.]ruや、最近では1312services[.]ruのようなドメインを含む悪意のあるURLインジケーターを通じて、これらのリポジトリの起源を追跡しました。
Pythonファイル内の隠されたコードは、Base64、Hex、Fernet暗号化を含むエンコーディング方法を使用して、ペイロード配信機能を隠蔽していました。
ソフトウェアサプライチェーンセキュリティのトレンドについてさらに読む: AIの幻覚が「Slopsquatting」サプライチェーンの脅威を生む
同様の脅威からのリスクを軽減するために、ReversingLabsは開発者に以下を推奨しています:
-
リポジトリが既知の良好なバージョンと一致することを確認する
-
活動が少ない単一リポジトリのGitHubアカウントに依存しない
-
dieseerbenni[.]ruのような疑わしいドメインを監視する
-
ソースコードの差分分析をサポートするツールを使用する
通知を受けた後、GitHubは特定された67のリポジトリをすべて削除しました。影響を受けた開発者の数は不明ですが、キャンペーンの広がりから、被害者がいる可能性が高いと研究者は考えています。
画像クレジット: Wirestock Creators / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/banana-squads-github-malware/