Threat Actors Game GitHub Search to Spread Malware
2024/04/11 InfoSecurity — 脅威アクターたちは、悪意のコードが隠された GitHub リポジトリを、多大な労力を費やして拡散していると、Checkmarx が警告している。最近に発見されたキャンペーンでは、これらのリポジトリが GitHub の検索結果の上位に表示されるよう設計された、テクニックが展開されていたという。
これらのテクニックについて、同社の Research Engineer である Yehuda Gelb は、「最近になって私たちが発見したのは、脅威アクターにより作成された GitHub リポジトリであり、疑うことを知らないユーザーが検索しそうな名前やトピックを、それらが持っていることだ。多くの場合において、それらのリポジトリが装っているのは、人気のあるゲーム/チート/ツールなどに関連する正規プロジェクトである。したがって、無害なコードと、有害なコードの区別が、ユーザーにとって困難になっている」と詳述している。
Yehuda Gelb は、このキャンペーンで使われている、2つの具体的なテクニックを概説している:
- 脅威アクターは GitHub Actions を使って、悪意のリポジトリへの小規模でランダムな更新を、高い頻度で自動的に行っている。そうすることで、”最近に更新” でフィルタリングされた場合に、ユーザーの目に止まりやすくしている。
- 攻撃者は、複数の偽アカウントを使って、悪意のリポジトリにスターを追加していく。それにより、対象となるポジトリが高い信頼と人気を得ているかのように錯覚させる。さらに、被害者が “最もスターが多い” という条件でフィルタリングしたときに、リポジトリが検索結果の上位に表示されるように仕向けられる。
Yehuda Gelb は、「疑うことを知らないユーザーは、検索結果の上位に表示されるリポジトリや、一見すると好意的に見えるリポジトリへと誘導されていく。そして、悪意のリポジトリをクリックし、その中に潜む危険性に気づかないまま、提供されているコードやツールを使用する可能性が高くなる」と警告している。
さらに彼は、「一見すると正規と思えるリポジトリ内において、Visual Studio プロジェクトで一般的に使用される “.csproj” ファイルや “.vcxproj” ファイルに、難読化されたマルウェアが隠されている。そのリポジトリがダウンロードされると、マルウェアが自動的に実行されて、被害者の IP がロシアにあるかどうかをチェックし、特定の URL から暗号化されたペイロードがダウンロードされる」と、付け加えている。
Read more on GitHub threats: Security Experts Urge IT to Lock Down GitHub Services
Checkmarx のレポートによると、この新しいキャンペーンは、被害者の暗号通貨を盗むために使用される、暗号財布クリッパー・マルウェアを拡散するように設計されている。ただし、理論的には同じ手法が、他の悪意のコードの拡散に使用される可能性があるという。
Yehuda Gelb は、「GitHub のユーザーは、このプラットフォームに掲載されているリポジトリのコミット頻度と、そのリポジトリにおけるメジャー/マイナーな変更について注視すべきだ。マイナーな変更のみの場合には、疑う方が賢明である。また、同時期に作成されたアカウントを持つユーザーが、特定のリポジトリにスターを追加している場合には、その点にも注意すべきだ」と述べている。
Google や Amazon では、詐欺的な情報を上位に表示するテクニックが横行していますが、それと同じことが GitHub でも起きているようです。脅威アクターたちの戦術は、毎日のように進歩していますね。このサイトを利用している開発者は、十分に注意してください。よろしければ、GitHub で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.