Checkmarxは、正規のように見えるGitHubリポジトリに隠された悪意あるコードが、できるだけ多くの開発者に利用されるよう、脅威アクターが多大な労力を費やしていると警告した。
セキュリティベンダーのリサーチエンジニアであるYehuda Gelb氏は、これらのリポジトリがGitHubの検索結果の上位に表示されるようにすることを目的とした最近のキャンペーンで用いられた複数の手法を説明した。
同氏は「私たちの最近の調査結果は、脅威アクターが、疑いを持たないユーザーが検索しそうな名前やトピックでGitHubリポジトリを作成していることを明らかにしています」と記した。「これらのリポジトリは正当なプロジェクトに巧妙に偽装されており、人気ゲーム、チート、またはツールに関連していることが多いため、ユーザーが無害なコードと見分けるのは困難です。」
Gelb氏は、このキャンペーンで使用されている2つの具体的な手法を挙げた。
- 脅威アクターはGitHub Actionsを使用し、小さくランダムな変更を高頻度で加えることで、悪意あるリポジトリを自動的に更新する。これにより可視性が人為的に高まり、特にユーザーが検索結果を「最近更新」で絞り込む場合に効果が大きい
- 攻撃者は複数の偽アカウントを使って悪意あるリポジトリにスターを付け、高い信頼と人気があるかのように見せかける。これにより、被害者が「スター数が多い」で絞り込んだ際にも、リポジトリが検索結果の上位に表示される
Gelb氏は「疑いを持たないユーザーは、しばしば検索結果の上位や、一見すると好意的な反応があるリポジトリに引き寄せられ、これらの悪意あるリポジトリをクリックして、そこにあるコードやツールを使用してしまう可能性が高い。内部に潜む隠れた危険に気づかないままに」と警告した。
同氏は続けて、マルウェア自体は、一見正当なリポジトリの中に、Visual Studioプロジェクトで一般的に使用される .csproj または .vcxproj ファイル内で難読化される形で隠されていると述べた。リポジトリがダウンロードされると、マルウェアは自動的に実行され、被害者のIPがロシアに基づくものかどうかを確認したうえで、特定のURLから暗号化されたペイロードをダウンロードする。
GitHubの脅威について詳しく読む:セキュリティ専門家、IT部門にGitHubサービスのロックダウンを要請
報告書によると、この特定のキャンペーンは、被害者の暗号資産を盗むために使用される暗号資産ウォレットのクリッパー型マルウェアを拡散する目的で設計されていた。ただし、同じ手法は理論上、他の悪意あるコードの拡散にも利用され得る。
Gelb氏はGitHubユーザーに対し 、プラットフォーム上に掲載されているリポジトリのコミット頻度や、導入されている変更が軽微なものにとどまっていないかを注意深く監視するよう促した。また、同じ時期に作成されたアカウントのユーザーが特定のリポジトリにスターを付けている場合も、別の危険信号になると付け加えた。
画像クレジット:DJSinop および Michael Vi / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/threat-actors-game-github-search/
