New Malvertising Campaign Exploits GitHub Repositories to Distribute Malware
2025/09/12 gbhackers — 正規の GitHub リポジトリの “dangling” コミットを介して無防備なユーザーを狙うという、巧妙なマルバタイジング・キャンペーンが発覚した。この攻撃者は、人気の開発プロジェクトや OSS プロジェクトに、偽造 GitHub Desktop インストーラーのプロモーション・コンテンツを挿入している。正規のクライアントを装うインストーラーをダウンロードすると、バックグラウンドで悪意のペイロードが密かに配信され、ユーザーには気づかれることなく、システムが迅速に侵害される。
このキャンペーンを、Unit 42 のセキュリティ研究者たちが発見したのは、Web トラフィックを監視し、不審な広告リダイレクトを探していた際である。マルバタイジング・バナーをクリックしたユーザーは、GitHub Desktop クライアントの最新ビルドを提供する、不正なページへとリダイレクトされるという。
この悪意のページで提供されるのは、公式インストーラーではなく、”GitHubDesktopSetup-x64.exe” を装うドロッパーであり、多段階の実行プロセスを引き起こすものだ。このプロセスでは、最初に Windows Script Host (wscript.exe) スクリプトが起動し、続いて PowerShell コマンドが実行された後に、”svchost.exe” を介して悪意の DLL ペイロードがロード/実行される。
この DLL ペイロードにより、C2 (Command and Control) サーバとの永続的な通信が確立し、その結果として、リモートコード実行/データ窃取に加えて、エンタープライズ環境内での潜在的なラテラル・ムーブメントが可能になる。
研究者たちが指摘するのは、高度な難読化技術を用いる攻撃者が、無害に見えるプロセス内に、エンコードされた PowerShell コマンドをエンベッドしていること。
このキャンペーンは、正規のプロセス名と Windows のメカニズムが悪用されている。具体的には、永続化のためのスケジュール・タスク (schtasks.exe) と、クローク実行のために svchost.exe などのプロセスを悪用する手法により、一般的なエンドポイント検出および EDR ソリューションが回避されてしまう。
したがって被害者は、予期しないネットワーク接続やリソース消費の急増などが発生するまで、侵害に気付かない可能性がある。
GitHub インフラの巧妙な悪用
この攻撃キャンペーンは、GitHub プラットフォームを巧妙に悪用することで、信頼性を確立しようとしている。正当なコントリビューターによりプッシュされたコードの、テンポラリ・バージョンである “dangling” コミットを標的とする攻撃者は、既存のプロジェクトのコンテキストに、悪意のプロモーション・コンテンツを表示させる。
リポジトリの更新を見たユーザーは、対象となるソースコードを信頼しているため、インストーラーをダウンロードして感染チェーンを開始してしまう。研究者たちが指摘するのは、”dangling” コミットは主要なブランチ履歴に表示されないため、従来のリポジトリ監視を回避できることだ。
この盲点を突く攻撃者は、プロジェクトの README や Release Note に悪意のリンクを埋め込む。そして、リポジトリに訪問するユーザーが、ダウンロード・ボタンをクリックすると、攻撃者が管理する外部ホスティング・サービスへと誘導される。
このキャンペーンの目的は、認証情報の収集/暗号通貨マイニングツールの展開であり、追加のエクスプロイト・モジュールの配信が可能なバックドアの配布だと考えられる。
緩和策
この新しいマルバタイジング戦術を防御する、ユーザー組織にとって必要なことは、対象となるソフトウェア・ソースの厳格な検証を、インストール前に実施することである。たとえば、コード署名とチェック・サムを、ベンダーの公式リポジトリと照合することで、インストーラーの改竄について確認できる。
さらに、セキュリティ・チームにとって必要なことは、ソフトウェアのダウンロード直後に DNS および HTTP ログを監視し、未知のドメインや IP アドレスへの接続の有無を確認することだ。また、ビヘイビア・ベースの EDR ソリューションを導入することで、通常の使用パターンから逸脱した、異常な PowerShell およびスクリプト・ホスト・アクティビティを検出できる。
GitHub 上でオープンソース・プロジェクトを保守している開発者は、未解決のコミットを削除し、ブランチ保護ルールを有効化することで、このリスクを軽減できる。また、リポジトリのメタデータとリリース資産を定期的に監査することで、不正な変更が悪用される前に発見できる。さらに、開発者アカウント全体で MFA を有効化することで、攻撃者がリポジトリへのプッシュ・アクセスを取得する可能性を低減できる。
マルバタイジングの手法が進化し続ける状況において、プラットフォーム・プロバイダーとセキュリティ・コミュニティの連携が不可欠である。
GitHub は、自社のインフラが悪用されたという報告を受け、未解決のコミットの可視性向上に取り組んでいる。その一方で、セキュリティ研究者たちがユーザーに対して推奨するのは、信頼できるリポジトリ内であっても予期せぬ更新プロンプトには疑問を持ち、疑わしいアクティビティを発見したら速やかに報告することである。
この新たなキャンペーンが浮き彫りにするのは、ソフトウェア・サプライチェーンにおけるゼロトラスト・アプローチの重要性である。
本質的に安全なものなどは存在しないという前提に立ち、すべてのコンポーネントの信頼性を継続的に検証することで、長年にわたる開発ワークフローを悪用する、巧妙な脅威に対する防御力を高めることができる。
GitHub の “dangling” コミットという見落とされやすい領域が、マルバタイジングで悪用され、正規プロジェクトのコンテキストに、偽の Desktop インストーラーが紛れ込んでいたようです。主要ブランチに出にくい履歴の盲点と、正規名プロセス “svchost.exe” や PowerShell の多段実行などを組み合わせ、検知を回避するところから侵害が始まります。ご利用のチームは、ご注意ください。よろしければ、GitHub で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.