WebratがGitHubのPoCをマルウェアの罠に変える

GitHubでPoCやエクスプロイトコードを探しているセキュリティ専門家は、攻撃者が既知のRATの矛先を彼らに向けることで、まもなく罠に踏み込んでしまうかもしれない。

研究者らは、ゲームチートやクラックソフトに紛れ込むことで数か月にわたり知られているWebratトロイの木馬が、GitHub上でPoCエクスプロイトのリポジトリを装い、油断しているセキュリティ研究者をだますという、ステルス性の高いキャンペーンを突き止めた。

巧妙なデコイと想定外の標的設定により、このキャンペーンは典型的なマルウェア配布攻撃とは一線を画している。

カスペルスキーのセキュリティアナリストは、攻撃者が一見正当な脆弱性エクスプロイトコードを、整ったドキュメント付きでアップロードし、標的をバックドアのダウンロードへ誘導するという、この進化を確認した。

ゲームチートからGitHubエクスプロイトへ

Webratは新しいものではない。Rust、Counter-Strike、Robloxなどのゲームチートパッケージや、クラック版ソフトのインストーラーといったおなじみの誘い文句に紛れて、平然と潜伏してきた経緯がある。しかし少なくとも2025年9月まで遡る最新キャンペーンでは、攻撃者は手口を変え、CVSSv3スコアが高い注目度の高い脆弱性のエクスプロイトコードを提供するように見せかけたリポジトリをGitHub上でホストし始めた。

彼らがエクスプロイトを押し出していた脆弱性には、Internet Explorerの重大なヒープベースのバッファオーバーフロー（CVE-2025-59295/ CVSS 8.8）、WordPressプラグインの最大深刻度の認証バイパス（CVE-2025-10294/ CVSS 9.8）、Windows Remote Access Connection Managerの不適切なアクセス制御（CVE-2025-59230/ CVSS 7.8）が含まれていた。

エクスプロイトコードを投下するだけでなく、リポジトリには脆弱性の概要、システムへの影響、インストールガイド、利用手順、さらには緩和策の助言まで、詳細なセクションが含まれていた。プロのPoC解説に近い形式の一貫性は、熟練の専門家による検知を避けるために説明文が機械生成されていることを示唆していると、カスペルスキーの研究者はブログ投稿で指摘している。

悪意あるペイロードと挙動

整ったREADMEの裏で、攻撃者はリポジトリ内にパスワード保護されたZIPへのリンクを置いていた。アーカイブのパスワードはファイル名の中に隠されており、不用意な目には見落としやすい。内部には、デコイのDLL、マルウェアを起動するバッチファイル、そして権限昇格、Windows Defenderの無効化、ハードコードされたコマンド＆コントロール（c2）サーバーから本物のWebratペイロードを取得できる主要実行ファイル（rasmanesc.exeなど）が含まれている。

実行されると、Webratはホストシステムにバックドアをインストールする。このバックドアは、認証情報の流出、暗号資産ウォレットへのアクセス、Webカメラやマイクによる盗撮・盗聴、キーストロークの記録、TelegramやDiscordなどのメッセージングアプリ、さらにSteamのようなゲームプラットフォームからのデータ窃取が可能だ。

これらの機能は、攻撃者の支配下にある本格的な監視・窃取プラットフォームに相当する。

変化の重要性

研究者らは、ゲームチートで一般ユーザーをだます手口から、エクスプロイトコードで技術者を狙う手口への移行が、注目すべきであると同時に憂慮すべきだとした。「彼らは、新たな脆弱性に関連するコードを見つけて分析するために、オープンソースに頻繁に依存する研究者を標的にしている」と述べている。

ただし、経験豊富なセキュリティ研究者は通常、仮想マシンやサンドボックスなどの隔離環境でこうしたエクスプロイトを分析し、リスクを最小化する。だからこそこのキャンペーンは、安全な取り扱い手順なしにPoCを試したがる学生やジュニアアナリストなど、初心者を狙うよう意図的に調整されていると見られている。

「サイバーセキュリティの専門家、とりわけ経験の浅い研究者や学生は、エクスプロイトや潜在的に悪意のあるファイルを扱う際に警戒を怠ってはならない」と研究者らは助言した。「機密情報を含む業務用・個人用デバイスへの潜在的な被害を防ぐため、これらのエクスプロイトやファイルは仮想マシンやサンドボックスなどの隔離環境で分析することを推奨する」。開示内容によれば、Webrat自体に大きな技術的変更はない。代わりに攻撃者は、オープンソースへの好奇心を攻撃面へと変えることで、リスクの枠組みを作り替えた。