GitHubで最近発見された事案が、サイバーセキュリティコミュニティに警告を鳴らしています。正規のmacOSアプリTritonの悪意あるフォークが浮上したのです。
このアプリの元のバージョンは開発者Otávio C.によって作成され、macOSと様々なサービスの相互作用を簡素化するためのツールでした。
しかし、GitHubアカウント「JaoAureliano」でホストされている新たに特定されたフォークには、特にWindowsを実行しているユーザーに害をもたらす可能性のある隠れたマルウェアが含まれていました。
Tritonリポジトリのフォークは、当初は単純な盗用と思われていました。悪意あるユーザーがリポジトリのソースコードをコピーし、元の作成者への帰属をすべて削除していたのです。
しかし、詳しく調査すると、これは単なるコード盗用ではなく、リポジトリがダウンロード時にマルウェアをホストするZIPファイルにリンクしていることが明らかになりました。
リポジトリのREADMEは、有用なインストール指示を提供する代わりに、悪意あるファイルを指す複数の誤解を招くダウンロードリンクで埋め尽くされていました。
「Software_3.1.zip」というファイルはプロジェクトのソースコード内のカラーセットディレクトリに埋め込まれていました。正規のTritonアプリを含む代わりに、ZIPファイルはWindowsシステム上で実行すると一連の有害なプロセスをトリガーするマルウェアを含んでいました。
さらなる調査により、悪意あるファイルはVirusTotalを通じて分析され、その悪意ある性質が確認されました。マルウェアはWindowsマシン上でトリガーするよう設計され、検出を回避するための一般的な回避技術を使用していました。
攻撃の第一段階では、マルウェアで一般的に見られるパスワード「infected」を使用してZIPファイルの内容を抽出しました。その後、Windowsコマンドプロンプトで一連のコマンドを実行してマルウェアをデプロイしていました。
マルウェアはLuaJIT(Just-In-Timeコンパイラ)を使用して、自動化されたサンドボックス分析を回避しながら追加のペイロードを実行していました。
攻撃者はまた、アンチデバッグおよびサンドボックス回避技術を使用し、サイバーセキュリティシステムによる検出を回避するために実行を遅延させていました。悪意あるペイロードは外部サーバーとの通信、システムデータの収集、機密情報の流出を目的としていました。
この悪意あるフォークの作成は、より広い的を絞ったマルウェアキャンペーンの一部です。アカウント「JaoAureliano」はこの唯一の目的のために作成され、攻撃者は自動化されたスクリプトを使用してコミット履歴を操作し、悪意ある活動を隠していました。
「deobfuscation」や「PyTorch」などの用語を含むリポジトリトピックは、研究者をリポジトリが教育的なものであると思わせるよう設計されているようです。
キャンペーンがニッチなユーザーベースをターゲットにしているという明らかな無能さにもかかわらず、マルウェアはそれでも複数の高度な機能を実証していました。外部サーバーとの通信にDNSおよびHTTPリクエストを使用し、流出データの送信またはさらなる指示の待機の可能性がありました。
Tritonのこの悪意あるフォークは、オープンソース開発者とユーザーの両方にとって警告の話です。GitHubは協力とイノベーションのための貴重なプラットフォームのままですが、悪意のある行為者がそのインフラストラクチャを悪用するのを防ぐことに関しても大きな課題に直面しています。
開発者は、不慣れなソースからコードをダウンロードする際に注意を払い、適切なセキュリティ対策が実施されていることを確認する必要があります。
GitHubは問題について警告されたにもかかわらず、リポジトリまたは悪意あるユーザーのアカウントを削除することはまだできておらず、プラットフォームのこのような攻撃を検出・防止する能力に関する継続的な懸念を浮き彫りにしています。
翻訳元: https://cyberpress.org/malicious-triton-fork-discovered/