ハッカーがGithubを使って暗号を盗む—オープンソースに隠されたマルウェア

GitHub上の巧妙なマルウェアが仮想通貨ウォレットをハイジャックしています

最近発見されたGitvenomと呼ばれるサイバーキャンペーンは、あたかも正規のオープンソースプロジェクト内に悪意のあるコードを埋め込み、GitHubユーザーを標的にしています。カスペルスキーの研究者であるジョルジー・クチェリンとジョアン・ゴディーニョは、この作戦を特定しました。この作戦はサイバー犯罪者が実際のソフトウェアツールを模した詐欺的なリポジトリを作成することを伴います。

研究者たちは述べています：

Gitvenomキャンペーンの間に、その背後にいる脅威アクターたちは、GitHub上に悪意のあるコードを含む偽のプロジェクトを作成した数百ものリポジトリを作成しました。例えば、Instagramアカウントとやり取りするための自動化ツールや、ビットコインウォレットを管理するためのTelegramボット、ビデオゲームValorant用のハッキングツールなどがあります。

攻撃者は、これらのリポジトリを本物に見せるために、AI生成のREADME.mdファイルを使用し、複数のタグを追加し、コミット履歴を人工的に膨らませて信頼性を高めています。

悪意のあるコードは、使用されているプログラミング言語に応じて異なる方法で埋め込まれています。Pythonリポジトリでは、攻撃者はペイロードをスペースの長い行とそれに続くスクリプト復号コマンドで隠します。JavaScriptベースのプロジェクトでは、マルウェアをBase64でエンコードされたスクリプトをデコードして実行する関数の中に隠します。C、C++、C#プロジェクトの場合、攻撃者はVisual Studioプロジェクトファイル内にバッチスクリプトを隠し込み、プロジェクトがビルドされた際にマルウェアが実行されるようにします。

これらのスクリプトが実行されると、攻撃者が管理するGitHubリポジトリから追加の悪意のあるコンポーネントがダウンロードされます。これには資格情報、仮想通貨ウォレットデータ、閲覧履歴を抽出してTelegram経由で攻撃者に送信するNode.jsベースのスティーラーや、AsyncRATやQuasarバックドアのようなオープンソースのリモートアクセスツールが含まれています。また、クリップボードハイジャッカーも配備されており、コピーされた仮想通貨ウォレットアドレスを攻撃者が管理するものと置き換えました。

Gitvenomキャンペーンは少なくとも2年以上にわたって活動しており、ロシア、ブラジル、トルコを中心に感染試行が検出されています。カスペルスキーの研究者は、悪意のあるリポジトリのリスクの増大を強調し、警告を発しています：

GitHubのようなコード共有プラットフォームは全世界で数百万の開発者に利用されていますが、脅威アクターたちは間違いなく、偽のソフトウェアを感染の餌として使い続けるでしょう。

「そのため、第三者のコードを処理する際には非常に慎重に対応することが重要です。そのコードを実行したり、既存のプロジェクトに統合したりする前に、どのような動作をするかを徹底的にチェックすることが必須です」と注意を促しています。オープンソースプラットフォームがサイバー犯罪者によって利用され続ける中、開発者は自分たちの環境が侵害されないよう注意を払う必要があります。