ハッカーは信頼されたソフトウェア開発プラットフォームであるGitHubとGitLabを悪用してマルウェアと認証情報フィッシングキャンペーンをホストしており、企業の防御検出を大幅に困難にしています。
これらのGitベースのプラットフォームは開発およびビジネスワークフローに深く統合されているため、組織はネットワークエッジで単純にそれらをブロックすることはできず、脅威行為者に強力で信頼された配信チャネルを提供しています。
GitHubおよびGitLabリポジトリは開発者がコード、構成ファイル、およびプロジェクトドキュメンテーションを保存するために不可欠ですが、攻撃者はそれらを悪意のあるペイロードとフィッシングサイトの無料で評判の良いホスティングとして扱うようになっています。
この固有の信頼を悪用することで、彼らはgithub.com、githubusercontent.com、github.io、gitlab.com、gitlab.ioのURLを生成し、それらはセキュアメールゲートウェイとURLフィルターを最小限の精査で通過することが多いです。
これらの操作の約95%はGitHubドメインを活用し、約5%がGitLabを悪用しており、開発者エコシステムにおけるGitHubの支配と攻撃対象としてのその魅力を反映しています。
レポートによると、2021年から2025年まで、Gitリポジトリウェブサイトの悪用は年々増加し、2025年だけでこれらのサービスを使用するすべての観察されたマルウェアキャンペーンの約45%を占めています。
このトレンドは、GitHubがマルウェアの増加する問題に直面しており、その基盤にホストされている悪意のあるコンテンツの急増に関するより広範なレポートと一致しています。
認証情報フィッシング対マルウェア
脅威行為者はこれらのプラットフォームを認証情報盗難とマルウェア配信の両方に使用しており、フィッシングに若干傾いています。
ATR 383659の詳細により、脅威行為者は最初にGitHubを使用してマルウェアをホストしました。Muck Stealerをダウンロードするページを訪問した後、認証情報フィッシングページが自動的に開きます。
別の42%はマルウェアの配信に焦点を当てており、通常はリポジトリファイルリンクまたは感染したシステムによってサイレントに取得および実行できるraw content URLを通じて行われます。
操作の成長するサブセットは、単一の感染フローで両方のテクニックをチェーンする二重の「ハイブリッド」攻撃を実行しています。
これらのシナリオでは、被害者はまずGitHubまたはGitLabリポジトリから遠隔アクセストロイの木馬(RAT)をダウンロードし、その後アカウント認証情報を収集するフィッシングページにリダイレクトされる可能性があり、マルウェアが失敗するか後で削除された場合でも攻撃者のアクセスを最大化します。
github.comおよびraw.githubusercontentのようなコアGitHubドメインはマルウェアステージングのために大量に使用され、GitHub悪用キャンペーンの約53%がマルウェア配信に焦点を当てています。
標準GitHubのUIは悪意のあるファイルを正当なプロジェクトアーティファクトに似たものにしますが、raw contentドメインはローダー、ドロッパー、およびスティーラーペイロードに理想的な自動化された低プロファイルダウンロードを可能にします。
攻撃者は、プラットフォームレベルのアンチウイルススキャンを回避するために、Remcos、Async RAT、Byakugan、DcRATのようなRATをパスワード保護されたアーカイブ(.zip、.7z)内に頻繁に隠します。
github.ioを介して提供されるGitHub Pagesは認証情報フィッシングに傾き、GitHubベースの悪用の約47%を代表しています。
github.ioは長く続く、広く信頼されたドメインであるため、セキュリティツールは新たに作成されたサブドメインを不十分に検証する可能性があり、偽のログインポータルとリダイレクターページが正当なプロジェクトサイトに偽装することを許可します。
追跡されたキャンペーンの約58%は認証情報フィッシングコンテンツを配信し、多くの場合GitHub Pages(github.io)またはGitLab Pages(gitlab.io)を介して行われ、静的HTML、CSS、およびJavaScriptを使用してMicrosoft 365、Google、およびその他のビジネスログインポータルを複製します。
同様のロジックがgitlab.ioに適用され、GitLab Pagesはフィッシングページと自動リダイレクトをホストするために悪用され、時々CAPTCHAで保護されています、またはスキャナーを排除しながら人間の被害者を許可するための自動化防止チェック。
マルウェアファミリーおよびエンタープライズへの影響
全体的に、30以上のマルウェアファミリーがGitHubおよびGitLabをステージングまたは配信ポイントとして使用していることが観察されており、Gitリポジトリ悪用キャンペーンの42%は純粋なフィッシングではなくマルウェアに焦点を当てています。
Remcos RATはキャンペーンの約21%のボリュームでリードし、次にByakugan(9%)、Async RAT(7%)、およびGitLabベースの攻撃で特に一般的なDcRATが続きます。
これらのツールはリモートコントロール、キーログ記録、パスワード盗難、ブラウザデータ流出、さらには違法な暗号資産マイニングを可能にし、攻撃者が初期メールルアーの長い後に被害者を永続化、横方向に移動、および脅迫することを可能にします。
これらのキャンペーンは正当な高評判の基盤にフリーライドするため、従来のSEGフィルタリング、ドメインベースのブロックリスト、および評判スコアリングは単独では不十分です。
セキュリティチームは、従業員がリクエストされていないメール内のGitHubおよびGitLabリンクが未知のドメインと同じくらい危険である可能性があることを認識するように、きめ細かいURL検査、行動分析、およびユーザー認識トレーニングを組み合わせる必要があります。
翻訳元: https://gbhackers.com/github-abused-2/
