GitHubはソースコードの管理と共有を行いIT開発者の共同作業を効率的に行うプラットフォームです。GitHub のリポジトリにあるGitHub Desktopを端末にインストールするとコマンドを使わずに端末でGitHubを使うことができるようになるためコマンド操作が不得手だったり、簡単にGitHubを使いたい多くのエンジニアがGitHub Desktopを使っているようです。ところがこのGitHub Desktopを偽装することでマルウェアに感染させる攻撃が確認されているということです。
正規のURLが表示されている偽装ページ
GitHub Desktopを利用するにはリポジトリのGitHub Desktopページからファイルをインストールして使用します。ファイルをインストールするためにGitHub Desktopのページを開こうとGitHub DesktopをGooogleで検索すると、検索結果ページの上にスポンサーとして表示されているGitHub Desktopがあり、このリンクをクリックすると偽装GitHub Desktopに誘導される可能性があるようです。これはGoogle広告を悪用したマルバタイジング(悪意のある広告)です。
問題は偽装されたGitHub Desktopをホストしているのが攻撃者ではないという点で、攻撃者は正規のGitHub の仕組みを悪用して偽装GitHub Desktopのページを作成しており、そのため偽装ページでありながら名前やURLなどは正規のデータが表示されることから、偽装ページに誘導されても気が付きにくいということです。そして偽装ページからダウンロードしたインストーラでファイルをインストールすると端末にマルウェアが感染してしまいます。マルウェアに感染すると情報窃取や二次ペイロードが配布される恐れがあるようです。デバイスのmacOSプロセッサの種類に応じてAMOS StealerのX64版またはARM版が使われているということです。AMOS StealerはAtomic Stealerとも呼ばれ、2023年4月に発見された情報窃取マルウェアで、アンダーグラウンドフォーラムやテレグラムでMaaSとして販売されているということです。またPowerShellスクリプトにロシア語の記述があることから、攻撃者はロシア語に精通しているようです。
この攻撃はアークティックウルフネットワークス(米ミネソタ州)がブログで明らかにしているもので、ブログによると攻撃の対象はEUのIT技術者だということです。さらにGMOサイバーセキュリティbyイエラでも9月上旬より開発エンジニアを狙ったと思われる攻撃を確認したとして注意を喚起しています。
過去にはMSリポジトリを悪用してRedline配布
GitHubをめぐってはマイクロソフトのリポジトリを使ってRedlineと呼ばれる情報窃取マルウェアの亜種が配布されたケースもあったということです。このケースでは、ゲームチートのツールを偽装したデモを使ってマルウェアが配布されました。ゲームチートとはゲームのデータやプログラムを改ざんする不正行為で、このような行為をする人たちはゲームチーターと呼ばれているようです。ゲームチートを行うためのツールのデモと称した偽装デモがマイクロソフトのGitHabリポジトリにリンクされ、そのリンクはGitHubの公開されていないコメントのリンクが使われていたということです。RedlineはバスワードやCookie、暗号通貨ウォレット情報などを窃取するサイバー犯罪者に人気のあるマルウェアで、このケースではマルウェアのC2サーバーが過去にRedlineと関連付けられていたサーバーを利用しており、またLuaバイトコードを使用して検出を回避していたということです。
リポジトリを悪用した攻撃はGitHubにとどまらず行われており、PythonのリポジトリPypiでは登録されたパッケージに開発者のシステムの情報を盗むコードが含まれていたケースがあり、PyPiとJavaScript系のパッケージリポジトリであるnpmへの攻撃は2018年以降、289%も増加しているという報告もあります。
■出典
https://gmo-cybersecurity.com/blog/phantom-commit-injection/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/