GitHubにおける二つの異なるプロジェクトについての接触報告

最近のGitHubにおけるマルウェアキャンペーンの調査結果
昨日、異なる二人の人物から異なるGitHubプロジェクトに関する連絡がありました。最初に「Tito」が、別のユーザーがGitHub上で「synara」に関するパッチを見つけたと主張しているコメントをDMで送ってきました。また、「Robert Z」は、別のGitHubプロジェクトについて同様の内容をメールで知らせてきました。
注目すべき事実
さらなる調査の結果、以下の名称の同一のファイルがオンラインで発見されました:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
- その他多数
基本的には、誰かがGitHub上でアカウントを作成し、オープンイシューにコメントを残して「パッチを見つけた」と主張しています。この行為はおそらく自動化されていると思われますが、いずれにせよ、これらのパッチは実際にはマルウェアです。
キャンペーンの開始と活動状況
このキャンペーンは7月7日(昨日)に始まったようで、非常に迅速に広がっています。実際、内部を調査してみると、Go言語で書かれたプログラムが含まれています。このバイナリが実行されると、リモートホストに問い合わせを行い、最終的にはTelegramに接続します。Telegramのチャンネルの説明文には、指定されたウェブサイトが記載されています。このウェブサイトは、ペイロードがコードを抽出するためのもので、悪意のある目的に使われています。
この手法を用いているのは、指定されたウェブサイトが削除される場合に備えて、簡単にTelegramチャンネルの説明文を変更できるからです。まさに違法なDNSリゾルバのような仕組みです。
マルウェアの正体:StealC
このマルウェアは、YARA識別子に基づき「StealC」と呼ばれています。これは、StealCを使用した新たなマルウェアキャンペーンの可能性が高いです。GitHub上のスパムとTelegramを組み合わせた非常に巧妙な手法であり、印象的です。Telegramは削除依頼に迅速に対応しないと考えられるため、この方法が特に効果的であると推測されます。
まとめ
最近の動向から見て、GitHubはマルウェアの配信に利用される危険なプラットフォームに変わる可能性があります。開発者やユーザーは、不審なリンクやパッチを見かけた場合、十分に注意を払う必要があります。このようなトピックは、セキュリティ意識を向上させる上でも重要です。
| ファイル名 | 発見日 | 使用言語 | マルウェア種類 |
|---|---|---|---|
| hb_patch_v1112 | 2023年7月7日 | Go | StealC |
| registry_patch_v0.1.7 | 2023年7月7日 | Go | StealC |
| rep_fix_v1.zip | 2023年7月7日 | Go | StealC |
| sodium_fix_v1 | 2023年7月7日 | Go | StealC |
| log_fix_patch | 2023年7月7日 | Go | StealC |
TechOffice