GitHub

Stargazer Goblin」として知られる脅威行為者は、情報を盗むマルウェアをプッシュするGitHub上の3,000以上の偽アカウントからマルウェアDistribution-as-a-Service(DaaS)を作成した。

このマルウェア配信サービスはStargazers Ghost Networkと呼ばれ、マルウェアを含むパスワードで保護されたアーカイブを配布するために、侵害されたWordPressサイトとともにGitHubのリポジトリを利用している。ほとんどの場合、マルウェアはRedLine、Lumma Stealer、Rhadamanthys、RisePro、Atlantida Stealerなどの情報窃取ツールです。

GitHub repository pushing password-protected archive containing malware
マルウェアを含むパスワードで保護されたアーカイブをプッシュする GitHub リポジトリ
Source:チェック・ポイント

GitHubはよく知られた信頼できるサービスであるため、人々はGitHubをあまり疑わずに扱い、GitHubのリポジトリで見つけたリンクをクリックする可能性があります。

チェック・ポイント・リサーチは、このような組織的かつ大規模なスキームがGitHub上で実行されていることが初めて記録されたとして、この操作を発見した。

チェック・ポイント・リサーチは、「Stargazers Ghost Networkが行っているキャンペーンや、このサービスを介して配布されているマルウェアは、非常に成功している」と説明している。

「短期間のうちに、何千人もの被害者が、悪意を疑うことなく、正規のリポジトリと思われるものからソフトウェアをインストールした。被害者志向のフィッシング・テンプレートによって、脅威の主体は被害者に特定のプロファイルやオンライン・アカウントを感染させることができるため、感染の価値はさらに高まります。

マルウェアを拡散するGitHubの「ゴースト

DaaSの開発者であるStargazer Goblinは、2023年6月以降、ダークウェブ上でマルウェア配布サービスを積極的に宣伝している。しかしチェック・ポイントによれば、2022年8月から活動していた証拠があるという。

Threat actor's ad on the dark web
ダークウェブに掲載された脅威アクターの広告
ソースはこちら:チェック・ポイント

Stargazer Goblinは、3,000の偽の「ゴースト」アカウントを使って数百のリポジトリを作成するシステムを確立した。これらのアカウントは、悪意のあるリポジトリにスターをつけたり、フォークしたり、サブスクライブしたりすることで、見かけ上の正当性を高め、GitHubのトレンド・セクションに表示されやすくしている。

Ghost GitHub accounts performing malicious actions
スキームに参加するGitHubのゴーストアカウント
出典:GitHub:チェック・ポイント

リポジトリには、暗号通貨、ゲーム、ソーシャルメディアなど、特定の関心をターゲットにしたプロジェクト名やタグが使われている。

Phishing templates targeting different social media platform users
さまざまなソーシャルメディア・プラットフォームのユーザーをターゲットにしたフィッシング・テンプレート
Source: Check Point:チェック・ポイント

ゴースト」アカウントには、それぞれ異なる役割が割り当てられている。あるグループはフィッシング・テンプレート、別のグループはフィッシング・イメージ、そして3つ目のグループはマルウェアを提供する。

「マルウェアを提供する3つ目のアカウントは検知される可能性が高い。この場合、GitHubはアカウント、リポジトリ、関連リリース全体を禁止します」と研究者Antonis Terefosは説明する。

「このようなアクションに応答して、Stargazer Goblinは、新しいアクティブな悪意のあるリリースへの新しいリンクで最初のアカウントのフィッシングリポジトリを更新します。これは、マルウェアを提供するアカウントが禁止されたときにネットワークが最小限の損失で動作を継続することができます。”

Stargazers roles overview
Stargazers の役割の概要
出典:Check Point:チェック・ポイント

チェック・ポイントは、「Stargazers Ghost Network」の GitHub リポジトリの 1 つに、ソフトウェアのチュートリアルが掲載された YouTube 動画と同じ工作員がリンクしているケースを確認しています。

研究者は、フィッシング・レポジトリやマルウェア配布サイトへのトラフィックを誘導するために使用される、潜在的に複数のチャネルの例の1つである可能性があると指摘している。

チェック・ポイントは、この作戦の規模や利益の創出について、このサービスの開始以来、脅威行為者は10万ドル以上を稼いだと推定しています。

チェック・ポイントによれば、Stargazers Ghost Network の活動を通じてどのようなマルウェアが配布されているかについては、RedLine、Lumma Stealer、Rhadamanthys、RisePro、Atlantida Stealer などが含まれているとのことです。

チェック・ポイントの報告書で紹介されている攻撃チェーンの一例では、GitHubのリポジトリから侵害されたWordPressサイトにリダイレクトされ、そこからVBScriptを含むHTAファイルを含むZIPアーカイブがダウンロードされます。

Atlantida Stealer attack chain
Atlantida Stealer 攻撃チェーン
Source:チェック・ポイント

このVBScriptがトリガーとなり、2つのPowerShellスクリプトが連続して実行され、最終的にAtlantida Stealerが展開されます。

GitHubは、2024年5月以降、悪意のある本質的に偽のリポジトリの多くに対して対策を講じ、1,500以上のリポジトリを削除しましたが、チェック・ポイントによれば、現在も200以上のリポジトリが有効であり、マルウェアの配布を続けています。

Stargazer repositories added daily on GitHub
GitHubで毎日追加されるStargazerリポジトリ
Source:チェック・ポイント

不正広告、Google検索結果、YouTube動画、Telegram、ソーシャルメディアなどを通じてGitHubのリポジトリにたどり着いたユーザーは、ファイルのダウンロードやクリックするURLに十分注意することをお勧めします。

特にパスワードで保護されたアーカイブは、ウイルス対策ソフトウェアでスキャンすることができません。このようなタイプのファイルについては、VM上で解凍し、解凍したコンテンツをウイルス対策ソフトウェアでスキャンしてマルウェアがないかチェックすることをお勧めします。

仮想マシンを使用できない場合は、VirusTotalを使用することもできます。VirusTotalは、保護されたアーカイブのパスワードを要求するため、その内容をスキャンすることができます。ただし、VirusTotal が保護されたアーカイブをスキャンできるのは、そのアーカイブに単一のファイルが含まれている場合のみです。