GitHub を悪用する新たなサプライチェーン攻撃：ゲームチーターや経験の浅い脅威アクターが標的

Backdoored Open Source Malware Repositories Target Novice Cybercriminals

2025/06/05 SecurityWeek — デベロッパー／エンタープライズ／エンドユーザーを標的とし、情報窃取型のマルウェアやバックドアを展開するサプライチェーン攻撃が、今年だけでも数十件に達していることが明らかになった。その多くは、悪意の NPM パッケージを介して行われている。そして、6月4日 (水) に Sophos が明らかにしたのは、GitHub リポジトリを悪用することで、ゲームチーターや経験の浅い脅威アクターを標的とし、同様のバックドアを仕込むという攻撃行動である。

Sophos の調査は、OSS のマルウェア・プロジェクトである、Sakura RAT の追跡から始まった。このプロジェクトは、情報窃取型マルウェアやバックドアなどの、感染を試行するコードが注入された、RAT のコンパイルを人々に促すものである。

この攻撃では、４種類のPreBuild／Python／Screensaver／JavaScript バックドアが使用されていることが判明した。

さらに調査を進めた Sophos は、Sakura RAT のリポジトリを公開した人物が、マルウェア／攻撃ツール／ゲームチートを提供すると主張する、100以上のバックドア・プロジェクトを作成したことを突き止めた。

Sophos は、「結局のところ、この脅威アクターは、バックドアを仕込んだリポジトリを大規模に作成しており、主にゲームチーターや経験の浅い脅威アクターを標的としている可能性が高い。この活動は、かなり以前から行われていると推測される」と指摘している。

Sophos によると、一連のリポジトリに共通しているのは、バックドアが取り込まれていないケースであっても、”ischhfd83″ というメール・アドレスが存在していたことだ。また、リポジトリの存続期間が短くても、コミット数が非常に多く、平均で 4,446件にも上っていたという。

このキャンペーンは、数年前に開始された DaaS (Distribution-as-a-Service) 攻撃の一部である可能性が高い。正規のリポジトリをフォークした脅威アクターが、2022年8月の時点で大量のバックドアを仕込んだ際に、この活動が初めて明らかになっている。

それ以降における 12件以上の調査で、様々なマルウェア・ファミリーやバックドアを配布する、悪意のパッケージやリポジトリが報告されている。その中には、3,000 件以上の GitHub アカウントをマルウェア配布に悪用した、脅威アクター Stargazer Goblin に関する昨年の調査も含まれる。

Sophos によると、長年にわたり警告されてきた、マルウェアやゲームチートに関連するリポジトリを悪用する活動は、重複や戦術の変化をから推測すると、それぞれが関連している可能性があり、現在のキャンペーンのバリエーションであるとも思われる。

前述の DaaS サービスは、ロシア語圏のサイバー犯罪フォーラムで、ある脅威アクターにより宣伝されているが、この脅威アクターと今回のバックドア・キャンペーンを結び付けることはできなかったと、Sophos は述べている。

同社は、「バックドア・キャンペーンを背後で操る脅威アクターは、他のソースや他の脅威アクターからコードを取得し、バックドアを追加した結果を、自身で管理するリポジトリにアップロードしているだけかもしれない」と述べている。

その一方で Sophos は、このキャンペーンの背後にいる人物について、いくつかの関連性を発見している。具体的には、”Unknown” や “Muck” といったエイリアス／”arturshi[.]ru” および “octofin[.]co” などのドメイン／SNS のインフルエンサー／”Ali888Z” という名の Pastebin ユーザー／”searchBRO @artproductgames” という名の Glitch ユーザーなどが挙げられる。

Sophos は、「私たちが発見したのは、複数の種類のバックドアを取り込んだ、大量のバックドア化された GitHub リポジトリである。それらのバックドアは、単純なものではない。結局のところ、それらは長く複雑な感染チェーンの、最初のステップに過ぎず、最終的には複数の RAT やインフォスティーラーへと繋がるものだった。皮肉なことに、この脅威アクターが主として標的にしているのは、チート行為をするゲーマーや経験の浅いサイバー犯罪者たちである」と指摘している。

訳していて、ちょっと文脈が掴みにくい記事でしたが、ゲームチートや未熟な攻撃者を狙うというキャンペーンが展開されているようです。そこで侵害したサーバなどを、次の攻撃の足場にするのでしょうか？よろしければ、GitHub + Phishing で検索も、ご参照ください。