TokyoBlackHatNews

海外のセキュリティニュースをお届けします

darkreading.com

攻撃者が偽のGitHubページを利用してMacマルウェアを配布

Byt0ddycat

9月 23, 2025 #.NET malware, #AI in Cybersecurity, #AI Phishing, #Atomic Infostealer, #Atomic macOS Stealer, #Atomic Stealer, #GitHub, #Malvertising, #npm supply chain attack, #SEO Poisoning

Image

出典:Igi(Alamyストックフォト経由)

新たな脅威キャンペーンが、ターゲットを絞ったSEOポイズニングを利用してMacユーザーにインフォスティーラーを仕掛けています。

これはLastPassの脅威インテリジェンス・緩和・エスカレーション(TIME)チームによるもので、9月18日に偽のGitHubページが正規企業を装っている新たな脅威キャンペーンに関するブログ記事を公開しました。最近では、コードリポジトリがShai-Huludワームや著名なNPM開発者Qixの侵害、Salesloft侵害など、複数の攻撃で利用されています。

LastPassのブログ記事の著者であるAlex Cox、Mike Kosak、Stephanie Schneiderによると、脅威アクターは正規ソフトウェアのMacOS版を装ったマルウェアを含むGitHubリポジトリを公開し、SEOを活用して偽リポジトリが検索結果で上位に表示されるようにしています。

GitHub Mac攻撃

LastPassによれば、このキャンペーンはテクノロジーおよび金融分野を含むさまざまな企業を標的にしており、LastPass自身も含まれています。このケースでは、研究者が「MacBook用LastPass Premium」を提供すると称するリポジトリの偽リスティングをGitHubユーザー2名から発見しました。キャンペーンで使用されたページは複数のGitHubユーザー名によって作成され、MacOS関連の用語が散りばめられています。

このサイトには、ユーザーにMacのターミナルに特定のコード行を貼り付けるよう指示するダウンロードリンクが含まれていました。そのコードは、少なくとも偽のLastPassページの場合、Atomic infostealer(別名AMOS)のダウンロードと実行につながります。

両ページは9月16日にGitHub上で作成され、LastPassは「これらのサイトは直ちに削除申請され、現在は無効化されています」と述べています。

このような手口は以前にも行われており、LastPassは7月に公開された研究を引用し、攻撃者がGitHub上でパッケージマネージャーHomebrewのMacOS版を提供すると称した類似のソーシャルエンジニアリングキャンペーンを詳細に説明しています。そのページの指示に従うと同様にマルウェアがインストールされてしまいます。

また先月、CrowdStrikeはCookie Spiderとして追跡している脅威グループによるキャンペーンを詳細に説明しました。このグループは「SHAMOS」と呼ばれる前述のAtomic infostealerの亜種を使い、300以上の顧客環境を侵害しようと試みました。このキャンペーンでもマルバタイジングを利用してスティーラーを被害者環境に送り込んでおり、CrowdStrikeによれば自社のFalconプラットフォームによってブロックされたとのことです。

「マルウェア・アズ・ア・サービスとして運用されているCOOKIE SPIDERは、この情報窃取ツールをサイバー犯罪者に貸し出し、被害者から機密情報や暗号資産を収集するために展開されています」とCrowdStrikeは調査で述べています。「このキャンペーンでは、マルバタイジングを利用してユーザーを偽のmacOSヘルプウェブサイトに誘導し、被害者に悪意のある1行のインストールコマンドを実行させていました。」

CrowdStrikeの調査によれば、Cookie Spiderキャンペーンは6月までさかのぼりますが、Atomic infostealer自体は少なくとも2023年4月から活動していますとLastPassは述べています。

Mac攻撃の緩和策

Dark Readingは、なぜ特にMacユーザーがこのキャンペーンやマルウェアの標的になっているのかについてLastPassに質問しました。LastPassのシニアプリンシパルインテリジェンスアナリストであるKosak氏は、このマルウェアの背後にいるグループがmacOSシステムに注力することを好んでいる可能性があると仮定しています。攻撃者は「Macはマルウェアの脅威が少ないという危険な印象が根強く残っているため、Macユーザーを“低いハードル”と見なしている」可能性があります。

この脅威や類似の脅威を緩和するために、Kosak氏は、組織やユーザーは正規のアプリストアからのみソフトウェアをダウンロードするか、GitHubの場合はリポジトリが該当企業自身によって管理されていることを確認すべきだと述べています。ただしKosak氏は、「これはNPMユーザーを標的にした最近のサプライチェーン攻撃などを考慮すると、より難しい場合もある」と指摘しています。

インフォスティーラーへの対策として、Kosak氏は最新のアンチウイルスやEDR保護の利用、そしてLastPassらしく「ブラウザに認証情報やその他の機密情報を保存しないで、代わりにパスワードマネージャーや他の安全な保存方法の利用を検討する」ことを推奨しています。

翻訳元: https://www.darkreading.com/application-security/attackers-phony-github-pages-mac-malware

By t0ddycat

Related Post

darkreading.com

空港の混乱がサードパーティ攻撃の人的影響を浮き彫りに

9月 23, 2025 t0ddycat
darkreading.com

ゼロトラスト15年:今こそ重要な理由

9月 22, 2025 t0ddycat
darkreading.com

今すぐパッチ適用を:Fortra GoAnywhereの最重大バグでコマンドインジェクションが可能に

9月 20, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

cyberscoop-com

通信業界幹部:Salt Typhoonが他のハッカーに型破りな手法を促している

2025年9月23日 t0ddycat
bleepingcomputer.com

アメリカ公共放送アーカイブ、制限付きメディアが露出するバグを修正

2025年9月23日 t0ddycat
darkreading.com

攻撃者が偽のGitHubページを利用してMacマルウェアを配布

2025年9月23日 t0ddycat
cyberscoop-com

ラスベガス警察、2023年にカジノを襲撃したとされる未成年を逮捕

2025年9月23日 t0ddycat