GitHubからダウンロードしたくなる「魅惑的なリポジトリ」に要注意：開発者を信頼させる“マルウェア拡散のわな”

システム開発者に欠かせないツール「GitHub」を悪用してマルウェアを拡散させる攻撃が広がっている。GitHubユーザーを誘導する、巧みな手口に注意が必要だ。

[Arielle Waldman，TechTarget]

　セキュリティベンダーCheckmarxは、ソースコード共有サービス「GitHub」を悪用してマルウェアを配布する攻撃活動を発見した。同社はあるマルウェアへの感染が広がる可能性があるとみて、GitHubを利用する組織に注意を呼び掛けている。GitHubを利用する開発者を巧みに誘導するその手口とは、どのようなものなのか。

リポジトリを巧みに操作する手口とは

併せて読みたいお薦め記事

「GitHub」のセキュリティは大丈夫なのか？

• 「GitHub」への不正アクセスで緊急警告　何が狙われたのか？
• GitHubの「デジタル証明書」“流出問題”を放置してはいけない理由

　Checkmarxのセキュリティ研究者、イェフーダ・ゲルブ氏によると、攻撃者はGitHubを利用している開発者をだまし、統合開発環境（IDE）「Microsoft Visual Studio」の不正ファイルをダウンロードさせる。そのために、GitHubの各種機能を巧みに操っているという。

偽評価を付ける

　GitHubにはユーザー同士でスターによる評価ができる機能がある。攻撃者は複数の偽アカウントを作って自分に怪しまれない程度のスター数を付け、自分を信頼できるユーザーに見せかけている。

魅力的なリポジトリ名

　攻撃者は人気ツールなど、システム開発者から見ると魅力的と感じる名前を付けたリポジトリを作成。リポジトリとは、プログラムのソースコードや関連データの格納場所だ。魅力的な名前によって、自分のリポジトリが目に留まりやすいようにする。

検索エンジンをだます

　攻撃者はCI/CD（継続的インテグレーション／継続的デリバリー）ツール「GitHub Actions」を悪用し、自分のリポジトリを定期的に自動更新させる。検索エンジンに対してアクティブなリポジトリとして認識させ、検索順位を上位に上げることを狙う。

　上記のことによって攻撃者はGitHubユーザーをMicrosoft Visual Studioの不正ファイルダウンロードに誘導する。ゲルブ氏によると、不正ファイルは「.csproj」や「.vcxproj」といったファイル拡張子のプロジェクトファイル内に隠されていることが多く、セキュリティツールによって検出されにくい。「セキュリティ専門家でない限り、不正ファイルだと気付きにくい」（同氏）

　ゲルブ氏によれば、攻撃者は午前4時にマルウェア配布を開始、マルウェアがゆっくり標的システムに浸透するよう、時間的な余裕を設けている。マルウェアとして使うのは、「Keyzetsu Clipper」だという。同氏によると、Keyzetsu Clipperは比較的新しいマルウェアで、暗号資産（仮想通貨）のデジタルウォレット（電子決済用ソフトウェア）を狙った攻撃などに使われている。ゲルブ氏は「攻撃活動の地域情報を分析したところ、ロシアに所在する開発者が標的にされていないことを発見した」と言う。

　Checkmarxソフトウェアサプライチェーンセキュリティ部門長のジョーゼフ・ハルシュ・カドゥーリ氏は米TechTarget編集部に対して、今回の攻撃活動の範囲を特定するのは難しいとコメントした。「当社が持っている情報では被害者の数が分からない」（同氏）。ゲルブ氏は、攻撃活動は本稿執筆時点でも続いているとみる。GitHubユーザーに対し、リポジトリ作成の日付をよく見るなど細心の注意を払うことや、マルウェア検出ツールの利用を推奨している。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。