攻撃者はGitHubのフォーク機能を悪用して公式GitHub Desktopリポジトリをハイジャックし、正規インストーラーに偽装したマルウェアを配布しました。「GPUGate」と呼ばれるこのキャンペーンは、多段階のチェーンを通じてHijackLoaderを配信します。
本件は、Ierae, Inc.によるGMO Cybersecurity の日本語レポートで最初に詳述されましたが、GitHubが2025年9月以降に把握しているにもかかわらず、脅威は継続しています。研究者Theo Webbが再調査し、解析を回避するためのOpenCLのトリックを明らかにしました。
攻撃者はGitHub Desktop(github.com/desktop/desktop)をフォークし、READMEを編集して悪意あるインストーラーへのリンクを追加し、コミットします。
被害者はgithub.com/desktop/desktop/tree/<commit_hash>経由でそれを目にし、#where-can-i-get-it のようなアンカーを使って警告を回避します。Google広告は「GitHub Desktop」の検索に対してこれらを宣伝します。
GitHub Docsはこの可視性リスクに言及していますが、コミットは削除後もネットワーク内に残り続けます。GMOは、GitHubDesktopSetup-x64.exe(SHA256: e252bb114f5c2793fc6900d49d3c302fc9298f36447bbf242a00c10887c36d71)のようなインストールを観測しており、サイズも127MBと正規品に似せています。
このEXEはオーバーレイに.NETペイロードを同梱しています(バンドルマーカーのチェック後、dnSpyでダンプ可能)。OpenCLを意図的に失敗させた後に露呈するオールゼロのキーを用いて、ブロブを復号します。
次のペイロード(SHA256: e5c01a6f3d85c469e16857d92d9f0a1b01d14b0f0dad7df94b1afa6dc1ff4490)をAES-128-CBC(IV/キーともにゼロ)で復号し、slepseetwork[.]online から追加のデータを取得します。
VBS/PS1をダウンロードして実行します(例:SHA256: 8cd7d9ccea98ad6a3dfb4767e574349c9fd5678150c629661574ddd45e40cd37)。%AppData%にコピーし、Defenderの除外(%AppData%、%LocalAppData%、%ProgramData%)を追加し、ログオンタスク「WinSvcUpd」を作成します。
archive.zip(例:oqiwquwqey[.]xyz/zipep[.]php)をTemp/tmpXXXXXに展開し、EXEを実行します。
archive.zipには、悪意あるQt5Network.dllをサイドロードするControl-Binary32.exe(正規)が含まれています。Prangshound.hzj(単純な加算キー復号)からの復号済みシェルコードで、vssapi.dllの.textセクションを上書きします。
HijackLoader(最終段階)はavgsvc.exe/avastsvc.exe(ハッシュ0x6CEA4537/0x5C7024B2)をチェックし、見つかった場合は遅延します。Kraekgriesfid.xvsから復号し、LummaC2のようなスティーラーを展開します。
GitHub Releasesからのみダウンロードしてください。バンドルマーカー、OpenCLエラー、「WinSvcUpd」タスクを探索してください。列挙されたドメイン/コミットをブロックしてください。GitHubはフォークの可視性を制限する必要があります。
このサプライチェーン悪用は、開発者にとってリポジトリのリスクを浮き彫りにします。警戒を怠らないでください。脅威アクターは素早く適応します。
翻訳元: https://cyberpress.org/hijacked-github-desktop-malware/