攻撃者は、GitHubをマルウェア配布の導管として武器化する高度な手法を開拓し、著名な開発者向けユーティリティの正規インストーラーに見せかけてペイロードを偽装している。このキャンペーンの中心にあるのがGitHub Desktopであり、公式クライアントは、検索エンジン広告を通じて拡散されたダウンロードリンクの操作によって、感染源へとすり替えられた。
この戦略は技術的に洗練されていながら、極めて効果的でもある。脅威アクターは一時的なGitHubアカウントを作成して公式のGitHub Desktopリポジトリをフォークし、その後READMEファイル内のダウンロードリンクを改ざんする。GitHubのアーキテクチャ上の特性により、アクターに書き込み権限がなくても、これらのコミットは公式リポジトリのURL経由で閲覧できる。その結果、悪意あるリンクが正規プロジェクトに視覚的に統合されているように見える――研究者はこの手口をrepo squatting(リポジトリ・スクワッティング)と呼んでいる。
攻撃は次にデジタルマーケティングへと軸足を移す。犯人は「GitHub Desktop」という検索クエリに対して有料広告を出稿し、ユーザーを公式ホームページではなく、改ざんされたコミットを含むページへと誘導する。URLは、標準的なGitHubの警告を回避しつつ、ユーザーをダウンロードボタンへ直接アンカーするよう綿密に作り込まれている。公式クライアントを入手していると信じたユーザーは、知らぬ間に偽のインストーラーをダウンロードしてしまう。
GMO Cybersecurityのフォレンジックによれば、このキャンペーンは2025年9月と10月にピークを迎え、主にEUおよびEEA内の開発者を標的としていたが、日本でも感染が確認された。同様の悪性アーティファクトは、Chrome、Notion、1Password、Bitwardenなど、他の広く使われている ソフトウェアを装っているものも見つかった。
Windows向けインストーラーは、情報窃取型マルウェア(インフォスティーラー)の展開に頻繁に用いられる悪名高いモジュラー型ローダー「HijackLoader」を配信する多段階のデリバリーシステムとして機能する。一方、macOSユーザーはAMOSスティーラーの標的となる。技術的な実装は非常に複雑で、初期段階は暗号化されたペイロードを隠した通常の.NETインストーラーとして提示される。
研究者にとって特に注目すべきなのは、マルウェアの解析妨害策である。このプログラムはOpenCLを介してGPUインターフェースを利用し、「GPU暗号化」という見せかけを作り出す。実際には、静的解析を難読化し、GPUドライバーやOpenCLサポートのないサンドボックスや仮想化環境で実行失敗を誘発するために用いられる。これにより調査者は専用グラフィックスカードを搭載した実機ハードウェアを使用せざるを得なくなり、フォレンジック作業が大幅に困難になる。
その後の感染シーケンスには、PowerShellスクリプト、Microsoft Defenderの除外設定、タスク スケジューラによる永続化の確立が含まれる。攻撃者はDLLサイドローディングも悪用し、正規のWindowsライブラリ内に悪性コードを埋め込む。最終段階であるHijackLoaderは、LummaC2インフォスティーラーなどの第3段モジュールを配信する前に、AVGまたはAvastのプロセスをシステム上で監査する。
GitHubが2025年9月に問題を認識したにもかかわらず、この脆弱性は12月下旬まで残存した。フォーク由来のコミットが、アカウントが停止された後でもリポジトリのネットワーク内でアクセス可能なままになるというGitHubの基本アーキテクチャにより、こうした侵入は監視・根絶が極めて困難になっている。
専門家は、開発者が依然として高価値の標的であると警告する。開発者のワークステーションは、企業インフラ、独自のソースコード、内部サービスへの入口となり得るからだ。GitHubのような信頼されたプラットフォームの悪用は誤った安心感を生み、これらの攻撃を特に危険なものにする。アナリストは、ソフトウェアは公式の「Release」ページからのみ入手すること、URLの出所を精査すること、そして信頼できるプラットフォームに見える場合であってもスポンサー付き検索結果には強い懐疑心を保つことを推奨している。
