- SocketがGitHubの「Discussion」通知を悪用した大規模スパムキャンペーンを発見
- 偽のアドバイザリーとダミーのCVEにより、開発者はクラウドホストのリンク経由でマルウェアをダウンロードするよう騙される
- 数千の同一投稿が観察され、開発者の認証情報とプロジェクトを狙った調整された努力を示している
サイバー犯罪者がGitHubを騙して詐欺的なメール通知を送信させ、ソフトウェア開発者をマルウェアダウンロードに誘導していると、専門家が警告している。
セキュリティ研究機関Socketは、様々なプロジェクトの開発者を狙った大規模で調整されたスパムキャンペーンを観察したと述べている。
GitHubには「Discussion」と呼ばれるセクションがあり、これは基本的に様々なプロジェクトについて議論するためのフォーラムである。開発者がトピックに参加または監視している場合、何かが投稿されるとメールで通知される。
記事は以下に続く
大規模キャンペーン
現在、Socketによれば、犯罪者は「重大な脆弱性 – 直ちに更新が必要」などのタイトルの偽のアドバイザリーを投稿している。これらのアドバイザリーは、しばしば偽のCVE IDを含み、新しいアカウントまたは他の場所から盗まれたと思われる古い非アクティブなアカウントから投稿されている。
「警告」が投稿されると、GitHubは参加者にメールを送り、もしトリックに気づかなければ、マルウェアをダウンロードすることになる。アドバイザリーには、Googleドライブおよび他のクラウドストレージサービスでホストされている、影響を受けたVSコード拡張機能の「パッチ済み」バージョンへのリンクが含まれている。
リンクをクリックすると、被害者は一連のリダイレクトを通じて送られ、途中でデータが取得され、マルウェアが検証された被害者にのみ提示されるようにする。したがって、Socketは最終的なペイロードをダウンロードできず、それが何であるかを知らない。ただし、ソフトウェア開発者は価値のあるプロジェクトへのアクセスやブラウザにインストールされた暗号資産ウォレットのために狙われることが多いため、それはinfostealer(情報窃取マルウェア)であると想定するのが安全である。
Socketによると、このキャンペーンはよく組織化されており、かなり大規模であるようだ。それはできるだけ多くのGitHubユーザーに感染させようとして、幅広いネットを張っている。
「初期検索で、リポジトリ全体に数千の同一に近い投稿が見つかっており、これが孤立したインシデントではなく、調整されたスパムキャンペーンであることを示しています」とSocketは述べた。
「GitHubのDiscussionは参加者とウォッチャーに対してメール通知をトリガーするため、これらの投稿は開発者のインボックスに直接配信されます。」
そしてもちろん、あなたもTikTokでTechRadarをフォローできます。ニュース、レビュー、ビデオ形式のアンボックスなど、そして私たちから定期的な更新をWhatsAppでも受け取ることができます。
