Netskope Threat Labsは「TroyDen’s Lure Factory」と呼ばれる大規模なマルウェアキャンペーンを発見しました。このキャンペーンは300以上のトロイの木馬化されたGitHubリポジトリを使用して、カスタムLuaJIT情報盗聴マルウェアを配布しています。
脅威アクターは、特にOpenClaw AIデプロイヤー、ゲームチート、Robloxスクリプト、電話追跡ユーティリティなど、高く求められているツールになりすましることで、被害者を誘き寄せています。
洗練されたフェイクリポジトリと人工的な社会的証明を組み合わせることで、このキャンペーンはさまざまなコミュニティ全体にわたって幅広いターゲットを成功裏に侵害しています。
この攻撃は、開発者プラットフォームでホストされている高度なマルウェア感染ベクトルの増加傾向を浮き彫りにしています。
マルウェアの主な強さは、自動化されたセキュリティサンドボックスをバイパスするために特別に設計された、洗練された2つのコンポーネント設計にあります。
自動化されたセキュリティスキャナーは通常、ファイルを個別に分析するため、ランタイムと暗号化されたテキストファイルの両方は、それ自体は無害に見えます。
悪意のある動作は、被害者がバッチファイルを実行するときにのみ発生し、その際にインタプリタは隠されたペイロードを実行するよう指示されます。
起動されると、マルウェアは直ちに5つの反分析チェックを実行します。デバッガー、低メモリ環境、および短いシステムアップタイムをスキャンして、セキュリティサンドボックス内に閉じ込められているかどうかを判断します。
分析環境の可能性を疑う場合、マルウェアはおよそ29,000年間続くようにプログラムされたスリープコマンドを実行し、セキュリティタイミングウィンドウをはるかに上回ります。
この悪意のある操作の膨大な規模は、自動化されたAI支援マルウェア生成の使用を強く示唆しています。
人間によって厳選された名前に頼る代わりに、キャンペーンのサブディレクトリは、古代ラテン語、絶滅した生物学的分類系、および稀な医学的状態から引き出された非常に不明瞭な用語を使用しています。
たとえば、OpenClawリポジトリは、絶滅した鳥類の目にちなんで名付けられたフォルダー内にペイロードを隠しています。
同時に、他のパッケージは複雑な医学用語を使用しています。このプログラム的な命名により、攻撃者は手動の労力なしに同時実行キャンペーンの膨大な数を維持することができます。
これらのバリアント全てが、同じく高度にスケーラブルなインフラストラクチャと通信します。セキュリティアナリストは、コマンドサーバーが8つの負荷分散IPアドレスの背後に隠された単一の管理パネルを利用していることを発見しました。
サーバーエンドポイントはAI支援コーディングの兆候さえ示しており、スクリーンショットを受け取り、新しい悪意のあるタスクを配布するためのシンプルなAPIルートを備えています。
多様なオーディエンスをターゲットとする300以上の確認された配信パッケージを備えたこの操作は、サイバー犯罪における危険な進化を浮き彫りにしています。
翻訳元: https://cyberpress.org/ai-openclaw-trap-targets-developers/