1年以上にわたって、「FakeGit」と名付けられた大規模で悪質なキャンペーンが、GitHubを徹底的に悪用してきた。割られたブラウザ拡張機能、違法なゲーム改造、開発者ユーティリティ、成人向けコンテンツに偽装した感染アーカイブの欺瞞的なショーフロントとして利用されている。「Kirk」というニックネームで活動するアナリストにより記録された情報によると、2025年3月以降、犯人たちは47を超える異なるアカウントにわたって600以上のユニークなZIPアーカイブを配布している。3月初旬の時点で、これらのプロフィールのうち最低でも25個は依然として能動的に脅威を与えている。
これらのアーカイブは巧妙に、Jira、Asana、Todoist、Trello、Notion、Figma、Slack、Zoomなどの広く使われているプラットフォーム向けの必須アドオン、および Roblox、Fortnite、Counter-Strike 2、Valorant などのゲーミングコミュニティをターゲットとした偽のユーティリティに偽装した。その内部に隠されていたのは、LuaJITアーキテクチャを基盤とした複雑な感染チェーンである。リポジトリは手続き的に生成された説明で入念に整理され、README ドキュメント内に埋め込まれたすべてのハイパーリンクは、常に1つの有害なファイルへと被害者を導いていた。無知な利用者は、Google Chrome でデベロッパーモードを有効化し、その後、抽出されたディレクトリをネイティブ拡張機能として導入することを強く強要されていた。
最終的なペイロードは、Chrome、Brave、Edge、Firefox からテレメトリを無慈悲に盗み出し、同時に Outlook、FoxMail、WinSCP、Steam から機密情報を流出させるよう設計された、悪質な StealC 情報盗聴ツールとして現れた。この寄生的な実体は、ログイン認証情報、クッキー、閲覧履歴、認証トークンを体系的に収集し、さらにはビジュアルスクリーンショットをキャプチャし、PowerShell および msiexec を介して追加モジュールを自律的に呼び出す能力を備えていた。
設計者はこの作戦を深い狡猾さをもって設計し、以前に配布されたアーティファクトが、コマンド・アンド・コントロール(C2)インフラが移転するたびに変更される必要がないようにした。初期ローダーは Polygon ネットワーク内に埋め込まれたスマートコントラクトに問い合わせて、現在の C2 座標を確認した。その後、秘密の「dead drops」として機能する特定の GitHub リポジトリから暗号化されたブロックを取得した。インフラストラクチャの座標はブロックチェーンに記録された暗号化トランザクションを介して流動的に操作された。著者の計算によると、このコントラクトの初期バージョンは 50 の異なる C2 アドレスを経由し、悲しいことに、これらコントラクトの両方のバージョンは依然として動作している。
法医学的調査はさらに、第三者の GitHub アカウント侵害の明らかな兆候を明かした。悪質なリポジトリが正当なプロジェクトとともに謎の形で現れたプロフィールの中には、MaybeDesxie7、ShifaIshfaque、Mahmudul-Riad、sherinshamr、SYS123232 というニックネームを持つものがある。注目すべきことに、全く異なるおとり文句に使用されたアーカイブ内から、同じ実行可能ファイルアーティファクトと Lua モジュールが発見された-これは単一のオーケストレーション実体を指す明確な指標である。
現在の年の3月までに、犯人はこのカモフラージュを非常に洗練された頂点に磨き上げており、現代的な Lua コンポーネントの一部は VirusTotal に配置されたアンチウイルス検出を完全に逃れていた。このキャンペーンの期間を通じて、追跡チームは暗号化難読化の16の異なる世代をカタログ化している。BitDefender は現在これらの有害なアーカイブを Gen:Heur.FakeGit.1 として分類しており、ESET は基となる Lua コンポーネントを Lua/Agent ファミリーに分類している。
