GitHub フォークを悪用するマルウェア・キャンペーン：Triton を装う脅威アクターとリポジトリを特定

Malware in the Wild as Malicious Fork of Legitimate Triton App Surfaces on GitHub

2026/02/17 CyberSecurityNews — 正規の macOS アプリケーション Triton の悪意のフォークが、GitHub リポジトリを悪用しながらマルウェアを配布している。この不正リポジトリは “JaoAureliano” というアカウントの下で作成され、Otavio C. が開発した正規 Triton アプリのコピーを装っていた。実際には、正規ソフトウェアを提供せず、Windows 向けマルウェアを含む ZIP ファイルのダウンロードへとユーザーを誘導する仕掛けとなっていた。

攻撃ベクターは明白であり、不正なダウンロード・リンクがリポジトリの README ファイル内に繰り返し埋め込まれていた。この脅威アクターは、マルウェア・パッケージ Software_3.1.zip を Xcode の colorset ディレクトリ内に配置していた。Triton は macOS 専用のアプリケーションであるが、この 1.33 MB のアーカイブをダウンロードしたユーザーは、Windows システムを侵害するための実行ファイルを受け取ることになる。

IRC サーバ上で不審なフォーク活動に関する議論が発生した後に、セキュリティ研究者 Brennan が、この悪意のリポジトリを特定した。VirusTotal による分析では、当該マルウェア・サンプルの検出率は 66 ベンダ中 12 件であり、ファイルハッシュは 39b29c38c03868854fb972e7b18f22c2c76520cfb6edf46ba5a5618f74943eac である。この GitHub アカウントには複数の不審点が存在しており、コミット履歴は 2 つのリポジトリのみである一方で、自動スクリプトを用いたダミー・コミットの過去日付への遡及登録により、コントリビューション・グラフが人為的に操作されていた。

リポジトリのトピックには “malware”／”deobfuscation”／”symbolic-execution” といった不自然なタグが含まれており、教育的なセキュリティコンテンツを装っていた可能性がある。 GitHub に対して、複数回の報告が行われていたが、発見された時点では、この悪意のアカウントは削除されていなかった。このインシデントが示すのは、GitHub が広範なマルウェア配布に悪用される一例であり、類似するキャンペーンが継続的に発生している。

感染メカニズムおよび回避手法

このマルウェアは、多段階の実行チェーンを採用している。最初に “7za.exe” を使用し、パスワード “infected” によりアーカイブを展開する。このペイロードは LuaJIT を介してスクリプトを実行し、デバッグ環境の検出とサンドボックス回避のための、長時間スリープの技術を実装している。

ネットワーク通信では、”nexusrules.officeapps.live[.]com”／”svc.ha-teams.office[.]com” などのドメインを使用し、Microsoft Office トラフィックを装って Command-and-Control チャネル を確立する。それと同時に、”ip-api.com” による IP 情報の取得や、”polygon-rpc.com” とのブロックチェーン通信も実施する。

このマルウェアは、Java／Python／.NET のインストール状況やセキュリティソフトのログを確認しながら、システム偵察を進めていく。それに加えて、レジストリ・キーにアクセスして、コンフィグ・データを収集し永続化を確立する。ファイル操作における標的はシステム・ディレクトリであり、権限昇格を目的とするものだ。

ユーザー組織にとって必要なことは、GitHub のフォークからファイルをダウンロードする前に、リポジトリの真正性を検証することである。セキュリティ・チームに推奨されるのは、EDR (Endpoint Detection and Response) ソリューションを実装し、前述のファイル・ハッシュおよびネットワーク指標を監視することである。

今回のインシデントの原因は、GitHub 上で正規 Triton を装うフォーク・リポジトリを、ユーザーが信頼してしまう点にあります。不正アカウントは README に悪意のリンクを埋め込み、Software_3.1.zip を配布していました。この ZIP には Windows 向け実行ファイルが含まれ、7za.exe による展開後、LuaJIT を用いた多段階実行でサンドボックス回避や長時間スリープを行います。さらに Microsoft Office を装うドメインで C2 通信を確立し、レジストリ操作で永続化を実現します。リポジトリの真正性確認不足が、感染の出発点となっています。