新たに調整されたマルウェアキャンペーンが、人気の開発者向けプラットフォームであるGitHubを悪用しています。標的となっているのは、IT管理、サイバーセキュリティ、そしてオープンソースインテリジェンス(OSINT)の専門家たちです。これは、Morphisec Threat Labsが詳細な調査レポートで明らかにした、これまで知られていなかった「PyStoreRAT」と名付けられた脅威に関するものです。
参考までに説明すると、PyStoreRATはリモートアクセス型トロイの木馬(RAT)であり、攻撃者に被害者のコンピュータへの秘密裏かつ長期的な制御権を与える種類の悪意あるプログラムです。研究者らは、このキャンペーンが他と異なるのは、綿密な計画に基づいており、正規のものに見せかけるために人工知能(AI)で作成されたツールを利用している点だと指摘しています。
AI支援型サプライチェーン攻撃
予防的サイバー防御企業Morphisecの調査によると、攻撃者の巧妙な戦略は、ここ数か月の間に、数年間も活動していなかったものを含む休眠状態のGitHubアカウントを再有効化することから始まっていました。
これらのアカウントはその後、人工知能(AI)を使って作成された、一見本物らしく洗練されたプロジェクトを投稿し始め、即座に信頼を獲得しようとしました。これらのプロジェクトには、OSINTツール、暗号資産のトレーディングボット(DeFiボット)、AIチャットラッパー(GPTラッパー)などの有用なソフトウェアが含まれていました。
これらのもっともらしいプロジェクト/リポジトリは非常によく作り込まれていたため、そのいくつかはGitHubのトレンドリストで急速に上位に食い込みました。犯罪者たちは、この注目と信頼を獲得した後になって初めて、「メンテナンス」と偽装したさりげないコード更新を行い、PyStoreRATのバックドアを仕込んだのです。
PyStoreRAT ― 多目的かつ回避能力に優れた脅威
さらなる調査により、PyStoreRATはステルス性と柔軟性を重視して設計されていることが判明しました。多機能であり、被害者のコンピュータの詳細なプロファイルを収集できるほか、悪名高い情報窃取マルウェアであるRhadamanthysスティーラーやPython Loaderなど、他の種類の有害なソフトウェアを展開することも可能です。
注目すべき点として、このマルウェアは非常に適応性が高いことが挙げられます。Morphisecの調査によれば、CrowdStrike FalconやCyberReason、ReasonLabs製品など特定のセキュリティソフトウェアを検知すると、検出されにくくするために起動方法を切り替えることさえあります。さらに、このマルウェアはUSBドライブのようなポータブルストレージデバイスを介して拡散でき、運用者から新たなコンポーネントを動的に取得します。
加えて、研究者らはマルウェア用の制御サーバーが循環的かつローテーションする仕組みになっていることを突き止めました。これにより、コマンドを素早く更新できるうえ、インフラの遮断をはるかに困難にしています。コード内には「СИСТЕМА」(SYSTEMを意味する)といったロシア語の文字列も確認されており、Morphisecのマルウェア研究者Yonatan Edriは、この全体的なオペレーションは「典型的なGitHubマルウェアのノイズをはるかに超えたものだ」と、Hackread.comと共有されたブログ投稿の中で説明しています。
悪意あるGitHubリポジトリ一覧
以下は、このキャンペーンで使用された悪意あるGitHubリポジトリの一覧です。朗報としては、ほとんどのリポジトリはすでにGitHubによって削除されています。しかし残念ながら、まだいくつかは利用可能な状態です。
- https://github.com/setls/HacxGPT
- https://github.com/turyems/openfi-bot
- https://github.com/bytillo/spyder-osint
- https://github.com/gonflare/KawaiiGPT
- https://github.com/tyreme/spyder-osint
- https://github.com/gumot0/spyder-osint
- https://github.com/rizvejoarder/SoraMax
- https://github.com/Zeeeepa/spyder-osint
- https://github.com/aiyakuaile/easy_tv_live
- https://github.com/WezRyan/spyder-osint
- https://github.com/Zeeeepa/spyder-osint2
- https://github.com/Metaldadisbad/HacxGPT
- https://github.com/Manojsiriparthi/spyder-osint
- https://github.com/xhyata/crypto-tax-calculator
- https://github.com/turyems/Pharos-Testnet-bot
- https://github.com/adminlove520/VulnWatchDog
- https://github.com/shivas1432/sora2-watermark-remover
このように、AI生成による「正当性」とソーシャルエンジニアリング、クラウドのレジリエンス、そして適応的な実行手法を組み合わせた手口は、オンライン脅威の世界における「進化的な一歩」と評されており、従来型のセキュリティ対策を「根本的に信頼できないもの」にしつつあります。そのためMorphisecは、開発環境や機密データを保護する責任を負う防御側は、このマルウェアの仕組みを理解し、システムを防御する必要があると強調しています。
翻訳元: https://hackread.com/pystorerat-rat-malware-github-osint-researchers/
