GitHub を通じて BoryptGrab 情報スティーラーを配布:100 件以上の悪意のリポジトリ

Massive GitHub malware operation spreads BoryptGrab stealer

2026/03/08 SecurityAffairs — 100以上の GitHub リポジトリを通じて BoryptGrab 情報窃取型マルウェアを配布するキャンペーンを、Trend Micro が確認した。この BoryptGrab マルウェアは、ブラウザ情報/暗号資産ウォレットデータ/システム情報/一般的なファイルを収集するデザインとなっている。一部の亜種においては、TunnesshClient と呼ばれる PyInstaller 製バックドアも展開され、リバース SSH トンネルを確立して攻撃者と通信している。

このマルウェアは、ソフトウェア・ツールやゲームチートを装う ZIP アーカイブとして配布され、100以上の GitHub リポジトリにリンクされている。

Trend Micro の報告によると、類似する命名規則を持つ複数の ZIP ファイルが確認されている。”github-io” パターンを含む名称を検索すると、多数の公開 GitHub リポジトリが悪意のファイルを配布していることが分かる。

ロシア語のコメントやインフラに関する証拠から、攻撃者はロシア系である可能性が示唆されている。

この攻撃者は、無料ソフト/ゲームチート/ユーティリティを装う公開 GitHub リポジトリを悪用している。そして、README に SEO キーワードを大量に埋め込み、検索エンジンで上位表示させる手法を取っている。

例として挙げられるのは、Voicemod Pro のダウンロード・ページを模倣し、GitHub ホストのプロジェクト・ディレクトリ風ページへ誘導するケースである。

このページ内には、ロシア語コメントが含まれ、エンコードされた URL 経由での偽ダウンロード・ページへの転送が行われる。

そこでダウンロードされる ZIP ファイルは、複数の感染経路を持つ。1 つの経路は、実行ファイルにより悪意の “libcurl.dll” をサイドロードし、隠されたランチャー・ペイロードを復号するという方式である。


このランチャーは BoryptGrab を取得するが、その他にも Vidar 亜種/TunnesshClient/Golang で書かれたダウンローダー HeaconLoad なども取得する。続いてランチャーは、Shrek/Leon/CryptoByte などのビルド名を用いて特定ペイロードをリクエストし、スケジュール・タスクを用いて永続化を図る。

別の経路は、VBS ダウンローダーを悪用するものだが、その整数配列にはコマンドが隠されている。それにより、PowerShell の復号/リモート・サーバからのランチャーの取得/Microsoft Defender 除外の設定などが追加される可能性がある。その他の亜種には、 .NET ローダー/埋め込みスクリプト/HeaconLoad を取り込むものもある。HeaconLoad は、レジストリとスケジュール・タスクによる永続化/C2 へのシステム情報の送信/追加ペイロードの取得などを行う。

多くのペイロードで用いられるのは、XOR 文字列暗号化/動的 API 解決/コード注入などの難読化技術である。

BoryptGrab は、C/C++ で書かれた情報窃取型マルウェアであり、”–output-path” や “–build-name” などのコマンドライン引数を受け付け、大量の機密情報の収集を可能にする。”–build-name” が指定されない場合は、CryptoByte/Shrek/Sonic/Yaropolk などの既定値が用い、また、実行前には仮想環境検知やプロセス名チェックなどのアンチ解析機能を実行する。”–output-path” が指定されていない場合には、現在時刻/公開 IP/国コードを含むディレクトリを生成する。

標的として挙げられるのは、Chrome/Edge/Firefox/Opera/Brave/Vivaldi/Yandex などの多数のブラウザである。公開されている GitHub ツールの技術を悪用し、Chrome の App-Bound Encryption を回避することで、ブラウザに保存されている資格情報を復号する。暗号資産ウォレットも標的とされており、Exodus/Electrum/Ledger Live/Atomic/Binance/Wasabi/Trezor などが対象となっている。

さらに、スクリーンショット取得/特定拡張子ファイル収集/Telegram ファイル抽出/Discord トークン窃取などの機能も実装されている。それらの収集された情報は、データ圧縮の後に、攻撃者サーバへと送信される。一部の亜種は、TunnesshClient を展開し、リバース SSH トンネルを確立する。

このキャンペーンは、偽ソフトウェアと GitHub リポジトリを悪用するという、脅威エコシステムの進化を示している。

GitHub を舞台とする、大規模な情報窃取キャンペーンが確認されました。攻撃者は、ボイス・チェンジャーやゲームのチートツールなどの、便利な無料ソフトを装う 100以上のリポジトリを作成し、SEO (検索エンジン最適化) を駆使してユーザーを罠に誘い込んでいます。この問題の背景にあるのは、GitHub という信頼性の高いプラットフォームを悪用し、README ファイルに大量のキーワードを埋め込むことで、Google などの検索結果で上位に表示させるという仕組みです。公式サイトと誤認するユーザーが ZIP ファイルをダウンロードすると、複数の難読化されたステップを経て、最終的に BoryptGrab と呼ばれる強力なマルウェアに感染します。ご注意ください。よろしければ、Info Stealer での検索結果も、ご参照ください。