脅威アクターは、GitHubのフォーク構造における設計上の欠陥を悪用し、正規のGitHub Desktopインストーラーを装ったマルウェアの配布に成功しました。
攻撃チェーンは、一見単純ながら効果的な手法から始まります。攻撃者は使い捨てのGitHubアカウントを作成し、公式のGitHub Desktopリポジトリをフォークします。
次に、READMEファイル内のダウンロードリンクを悪意のあるインストーラーへ向けるよう改変し、その変更をコミットします。
重要なのは、攻撃者が公式リポジトリへの直接の書き込み権限を持っていないにもかかわらず、コミットハッシュが公式リポジトリの名前空間配下で閲覧可能になり、github.com/desktop/desktop/tree/<commit_hash> のように表示される点です。
この攻撃は、調査会社GMOサイバーセキュリティが2025年9月以降積極的に追跡しているもので、「repo squatting(リポ・スクワッティング)」と呼ばれる手法を利用して悪意あるコミットを公式リポジトリの名前空間配下に見せかけ、ユーザーを欺いてトロイの木馬化されたソフトウェアをダウンロードさせます。
この挙動は、意図されたものでありGitHubのセキュリティドキュメントにも記載されていますが、重大な脆弱性を生み出しています。
攻撃者がフォークやアカウントを削除したとしても、コミットハッシュはリポジトリネットワーク内に残り続けるため、クリーンアップは極めて困難になります。
GitHubの設計により、攻撃者は公式リポジトリの名前空間に居座り、悪意あるコンテンツを挿入できてしまいます。
キャンペーンの到達範囲を拡大するため、脅威アクターは検索エンジン上で「GitHub Desktop」を宣伝するスポンサー広告を悪用しました。
広告はREADMEのアンカーを用いてGitHubのセキュリティ警告を回避しつつ、悪意あるコミットへ直接リンクしており、正規ツールを探している開発者を標的にしました。
HijackLoaderを配信するマルチステージローダー
悪意あるインストーラーGitHubDesktopSetup-x64.exe(SHA256: e252bb114f5c…)は、127.68MBの単一ファイル型.NETアプリケーションで、高度なマルチステージローダーとして機能します。
分析により、2025年5月にさかのぼる類似サンプルが確認されており、Chrome、Notion、1Password、そしてBitwardenなど、他の人気アプリ名を装っていました。
このローダーはいくつかの回避手法を用います。特に注目すべきは、GPUベースのAPIであるOpenCL(Open Computing Language)を悪用し、GPUドライバーのないサンドボックスや仮想マシンでの動的解析を妨害する点です。
マルウェアは意図的なコードのミスディレクションを実装しており、復号鍵の静的な復元を困難にします。その結果、セキュリティ研究者は解析を完了するためにGPUを搭載した物理マシンへと追い込まれます。
興味深いことに、GMO Cybersecurityは、OpenCL実装に意図的なバグが含まれていることを発見しました。引数が参照ではなく値渡しで渡されるため、カーネル実行が失敗します。
8バイトのバンドルヘッダー・オフセットは 0x7FAB159 に設定されており、これが単一ファイルアプリケーションであることを裏付けます。このバンドルヘッダー・オフセットとシグネチャは、他の識別子と組み合わせることで、YARAを用いた関連サンプルの探索に利用できます。
この巧妙な手法により、すべてゼロの復号鍵が生成され、動的解析と静的解析の両方のアプローチが破綻します。これはリバースエンジニアリングに対する革新的な防御メカニズムを示しています。
ペイロード配信と永続化
実行されると、マルウェアは正規の署名付きバイナリ(Control-Binary32.exe、Qt5Network.dll、Qt5Core.dll)と悪意あるペイロードを含む暗号化アーカイブをダウンロードします。
まず、 clGetPlatformIDs および clGetDeviceIDs は、 GeForce RTX 4090 のようなデバイス文字列を返しません。
感染はDLLサイドローディングおよびモジュール・ストンピング手法を利用し、vssapi.dllにシェルコードを注入してHijackLoaderを実行します。HijackLoaderは、過去にLummaC2スティーラーやその他のコモディティマルウェアの展開で観測されている既知のローダーです。
永続化は、ユーザーのログオン時に実行される「WinSvcUpd」という名前のスケジュールタスクによって確立されます。
PowerShellのステージャーは、AppData、LocalAppData、ProgramDataディレクトリに対するMicrosoft Defenderの除外設定を追加し、後続ペイロードが検知されずに実行できるようにします。
このキャンペーンは2025年9月から10月にかけて最も活発でしたが、GitHubは2025年9月9日時点で当該脆弱性を認識していたことを確認しています。
2025年12月29日時点でも、この手法は再現可能なままでした。マルバタイジングにより欧州ユーザーに焦点を当てていたものの、日本やその他の地域でも感染が発生しました。
GMO Cybersecurityは、インストーラーは公式のReleasesページからのみダウンロードし、スポンサー検索広告には最大限の注意を払うよう推奨しています。
このキャンペーンは、開発者を狙う攻撃が信頼されたプラットフォームを悪用して高度なマルウェアを配布する実態を浮き彫りにし、現代の脅威環境におけるサプライチェーンセキュリティの重要性を強調しています。
翻訳元: https://gbhackers.com/github-desktop-repo/
