- Kasperskyが、概念実証(PoC)エクスプロイトを装った悪意あるGitHubリポジトリ15件を発見。一部は生成AIで作成
- 被害者はデコイとドロッパー(rasmanesc.exe)を含むZIPを受け取り、WebRATのバックドア/情報窃取機能がインストールされる
- GitHubはリポジトリを削除したが、感染したユーザーはWebRATを手動で駆除する必要があり、タイポスクワットされたパッケージにも注意が必要
専門家によると、サイバー犯罪者が、人気リポジトリ上にホストされたマルウェア混入の偽概念実証(PoC)エクスプロイトを通じて、セキュリティ研究者(そして場合によっては他の犯罪者)を標的にしているという。
サイバーセキュリティ研究者のKasperskyは、GitHub上でホストされている悪意あるリポジトリ15件を発見したと述べた。これらのリポジトリは、生成AI(Gen AI)の助けを借りて作成されたとみられ、メディアで報じられた複数の脆弱性に対するエクスプロイトを提供すると主張していた。
その中には、WindowsのMSHTML/Internet Explorerにおけるヒープベースのバッファオーバーフローのバグ、WordPress向けOwnID Passwordless Loginプラグインの重大な認証バイパス、そしてWindowsのRemote Access Connection Managerにおける権限昇格の欠陥が含まれている。
バックドアと情報窃取
パッケージをダウンロードした被害者は、パスワード保護されたZIPアーカイブを見つける。中には空のファイル、デコイとして機能する偽DLLファイル、バッチファイル、そしてrasmanesc.exeという名前の悪意あるドロッパーが含まれている。
このドロッパーは権限を昇格させ、Windows Defenderを無効化し、その後WebRATマルウェアをダウンロードする。
WebRATは主にバックドアだが、情報窃取(インフォスティーラー)としても機能する。セキュリティ研究者によれば、Steam、Discord、Telegramのアカウントのログイン認証情報に加え、被害者がインストールしている可能性のある暗号資産ウォレットやブラウザ拡張機能からの情報も盗み取れるという。また、ウェブカメラを使って被害者を盗撮したり、スクリーンショットを取得したりすることもできる。
このキャンペーンは2025年9月に始まったようで、すでに数か月間活動している。しかし、GitHubは現在、悪意あるリポジトリをすべて削除した。
それでも、すでにパッケージをダウンロードしてしまった被害者は、システムからWebRATの痕跡をすべて取り除くまで安全ではない。さらに、未発見のものがまだ存在する可能性があるため、追加のパッケージをダウンロードする際には警戒すべきだ。
ソフトウェア開発/サイバーセキュリティコミュニティにおける規模と人気の高さから、GitHubはサイバー犯罪者にとって主要な標的であり、彼らはしばしばタイポスクワットによって人々のデバイスに入り込もうとする。
