techleakszone 🔥 19 訪問数

GitHubにおける二つの異なるプロジェクトについての接触報告

GitHubにおける二つの異なるプロジェクトについての接触報告

最近のGitHubにおけるマルウェアキャンペーンの調査結果

昨日、異なる二人の人物から異なるGitHubプロジェクトに関する連絡がありました。最初に「Tito」が、別のユーザーがGitHub上で「synara」に関するパッチを見つけたと主張しているコメントをDMで送ってきました。また、「Robert Z」は、別のGitHubプロジェクトについて同様の内容をメールで知らせてきました。

注目すべき事実

さらなる調査の結果、以下の名称の同一のファイルがオンラインで発見されました:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch
  • その他多数

基本的には、誰かがGitHub上でアカウントを作成し、オープンイシューにコメントを残して「パッチを見つけた」と主張しています。この行為はおそらく自動化されていると思われますが、いずれにせよ、これらのパッチは実際にはマルウェアです。

キャンペーンの開始と活動状況

このキャンペーンは7月7日(昨日)に始まったようで、非常に迅速に広がっています。実際、内部を調査してみると、Go言語で書かれたプログラムが含まれています。このバイナリが実行されると、リモートホストに問い合わせを行い、最終的にはTelegramに接続します。Telegramのチャンネルの説明文には、指定されたウェブサイトが記載されています。このウェブサイトは、ペイロードがコードを抽出するためのもので、悪意のある目的に使われています。

この手法を用いているのは、指定されたウェブサイトが削除される場合に備えて、簡単にTelegramチャンネルの説明文を変更できるからです。まさに違法なDNSリゾルバのような仕組みです。

マルウェアの正体:StealC

このマルウェアは、YARA識別子に基づき「StealC」と呼ばれています。これは、StealCを使用した新たなマルウェアキャンペーンの可能性が高いです。GitHub上のスパムとTelegramを組み合わせた非常に巧妙な手法であり、印象的です。Telegramは削除依頼に迅速に対応しないと考えられるため、この方法が特に効果的であると推測されます。

まとめ

最近の動向から見て、GitHubはマルウェアの配信に利用される危険なプラットフォームに変わる可能性があります。開発者やユーザーは、不審なリンクやパッチを見かけた場合、十分に注意を払う必要があります。このようなトピックは、セキュリティ意識を向上させる上でも重要です。

ファイル名 発見日 使用言語 マルウェア種類
hb_patch_v1112 2023年7月7日 Go StealC
registry_patch_v0.1.7 2023年7月7日 Go StealC
rep_fix_v1.zip 2023年7月7日 Go StealC
sodium_fix_v1 2023年7月7日 Go StealC
log_fix_patch 2023年7月7日 Go StealC