昨日、二人の異なる方から異なるプロジェクトに関する連絡がありました。

GitHubにおける新たなマルウェアキャンペーンの発覚
昨日、異なるプロジェクトに関して二人の人物から連絡がありました。最初の連絡は「Tito」さんからで、GitHub上で「synara」のパッチを見つけたとのコメントがあったことをDMで知らせてくれました(画像1)。もう一人の「Robert Z」さんは、別のGitHubプロジェクトに関する類似の情報をメールで報告してきました(画像2)。この件は非常に興味深いものです。
調査結果
調査を進める中で、以下のような名前のファイルがオンラインで発見されたことが分かりました:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
- その他多数
これらのファイルは、GitHub上でアカウントを作成した誰かが、オープンイシューにコメントを残し、「パッチを見つけた」と主張するために使用されています。これらのコメントは自動化されている可能性があり、実際にはマルウェアであるパッチが提供されています。
キャンペーンの開始と動き
このキャンペーンは、7月7日頃から始まったと考えられ、非常に迅速に拡散しています。興味深い事に、このマルウェアはGo言語で記述されたプログラムであり、バイナリが実行されるとリモートホストに問い合わせを行います。このホストはTelegramに接続されており、そのTelegramチャンネルの説明には特定のウェブサイトが記載されています。このウェブサイトは、ペイロードがどこにコードを送信するかを指定する場所です。
このような手法を採用している理由は、指定したウェブサイトが削除された場合でも、迅速にTelegramチャンネルの説明を変更可能だからです。実質的に彼らは、非公式なDNSリゾルバとして機能しています(画像4)。
StealCとその影響
このマルウェアは、YARA識別子に基づいて「StealC」と名付けられています。このキャンペーンは、恐らくStealCを利用した新たなものであり、非常に興味深い事例です。GitHub上のスパムを利用し、Telegram上で非公式なDNSリゾルバを組み合わせている点は非常に巧妙です。Telegramは、削除リクエストに対して迅速に行動を取ることが少ないとする見方もあり、これが彼らの活動を助けていることでしょう。
まとめ
| ファイル名 | 説明 |
|---|---|
| hb_patch_v1112 | 不正なパッチファイル |
| registry_patch_v0.1.7 | 不正なパッチファイル |
| rep_fix_v1.zip | 不正なパッチファイル |
| sodium_fix_v1 | 不正なパッチファイル |
| log_fix_patch | 不正なパッチファイル |
この情報は、開発者やGitHubのユーザーにとって非常に重要です。これらのマルウェアの影響を把握し、警戒を強めることが必要です。
TechOffice