システム開発者に欠かせないツール「GitHub」を悪用してマルウェアを拡散させる攻撃が広がっている。GitHubユーザーを誘導する、巧みな手口に注意が必要だ。
セキュリティベンダーCheckmarxは、ソースコード共有サービス「GitHub」を悪用してマルウェアを配布する攻撃活動を発見した。同社はあるマルウェアへの感染が広がる可能性があるとみて、GitHubを利用する組織に注意を呼び掛けている。GitHubを利用する開発者を巧みに誘導するその手口とは、どのようなものなのか。
Checkmarxのセキュリティ研究者、イェフーダ・ゲルブ氏によると、攻撃者はGitHubを利用している開発者をだまし、統合開発環境(IDE)「Microsoft Visual Studio」の不正ファイルをダウンロードさせる。そのために、GitHubの各種機能を巧みに操っているという。
GitHubにはユーザー同士でスターによる評価ができる機能がある。攻撃者は複数の偽アカウントを作って自分に怪しまれない程度のスター数を付け、自分を信頼できるユーザーに見せかけている。
攻撃者は人気ツールなど、システム開発者から見ると魅力的と感じる名前を付けたリポジトリを作成。リポジトリとは、プログラムのソースコードや関連データの格納場所だ。魅力的な名前によって、自分のリポジトリが目に留まりやすいようにする。
攻撃者はCI/CD(継続的インテグレーション/継続的デリバリー)ツール「GitHub Actions」を悪用し、自分のリポジトリを定期的に自動更新させる。検索エンジンに対してアクティブなリポジトリとして認識させ、検索順位を上位に上げることを狙う。
上記のことによって攻撃者はGitHubユーザーをMicrosoft Visual Studioの不正ファイルダウンロードに誘導する。ゲルブ氏によると、不正ファイルは「.csproj」や「.vcxproj」といったファイル拡張子のプロジェクトファイル内に隠されていることが多く、セキュリティツールによって検出されにくい。「セキュリティ専門家でない限り、不正ファイルだと気付きにくい」(同氏)
ゲルブ氏によれば、攻撃者は午前4時にマルウェア配布を開始、マルウェアがゆっくり標的システムに浸透するよう、時間的な余裕を設けている。マルウェアとして使うのは、「Keyzetsu Clipper」だという。同氏によると、Keyzetsu Clipperは比較的新しいマルウェアで、暗号資産(仮想通貨)のデジタルウォレット(電子決済用ソフトウェア)を狙った攻撃などに使われている。ゲルブ氏は「攻撃活動の地域情報を分析したところ、ロシアに所在する開発者が標的にされていないことを発見した」と言う。
Checkmarxソフトウェアサプライチェーンセキュリティ部門長のジョーゼフ・ハルシュ・カドゥーリ氏は米TechTarget編集部に対して、今回の攻撃活動の範囲を特定するのは難しいとコメントした。「当社が持っている情報では被害者の数が分からない」(同氏)。ゲルブ氏は、攻撃活動は本稿執筆時点でも続いているとみる。GitHubユーザーに対し、リポジトリ作成の日付をよく見るなど細心の注意を払うことや、マルウェア検出ツールの利用を推奨している。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
