GitHub

巧妙な脅威キャンペーンがGitHubリポジトリを悪用し、オープンソースプロジェクトのリポジトリを頻繁に利用するユーザーや、そこからのメール通知を購読しているユーザーをターゲットに、パスワードを盗むマルウェア「Lumma Stealer」を配布している。

悪意のあるGitHubユーザーは、オープンソースリポジトリ上でプロジェクトに「セキュリティ脆弱性」が含まれていると偽って新しい「issue」を開き、他のユーザーに偽の「GitHub Scanner」ドメインにアクセスするよう促します。しかし、問題のドメインはGitHubとは無関係で、ユーザーを騙してWindowsマルウェアをインストールさせる。

さらに興味深いことに、このようなリポジトリのユーザーや貢献者は、脅威行為者がリポジトリに新しい課題をファイルするたびに、正規のGitHubサーバーからこのような「IMPORTANT!

偽の「セキュリティ脆弱性」メールアラート

GitHubのユーザーは今週、自分がコントリビュートした、あるいは他の方法で購読しているプロジェクトのレポにある偽の「セキュリティ脆弱性」に対処するよう促す電子メール通知を受け取っている。

ユーザーには、”github-scanner[.]com “にアクセスし、疑惑のセキュリティ問題について詳しく知るよう勧めている。

このメールは、GitHubの正規のメールアドレス(notifications@github.com, )から発信されており、本文には “Best regards, Github Security Team “と署名されている。

GitHub email notifications alerting to bogus security vulnerabiltiy
プロジェクトの偽の「セキュリティ脆弱性」を警告するGitHubのメール通知
(Cody Nash)

github-scanner[.]comというドメインはGitHubとは無関係で、訪問者にマルウェアを配信するために使用されています。

このドメインにアクセスすると、”あなたが人間であることを確認する “よう促す偽のキャプチャがユーザーに表示される。

fake captcha
不正ドメイン上の偽のキャプチャ
()

ユーザーが “I’m not a robot “をタップするとすぐに、バックグラウンドのJavaScriptコードが悪意のあるコードをクリップボードにコピーする。

その後の画面では、Windowsの「ファイル名を指定して実行」コマンドを実行し(Windows+Rキーの組み合わせを押す)、「ファイル名を指定して実行」ユーティリティ・プロンプトの内容を貼り付ける(Ctrl+V)ようユーザーに促す。

Captcha asks users to copy paste text

以下に示す舞台裏のJavaScriptコードは、同じくgithub-scanner[.]comでホストされている別のファイルdownload.txtをフェッチしている。このファイルには、同じドメインから「l6E.exe」Windows実行ファイルをダウンロードし、一時ディレクトリに「SysSetup.exe」として保存し、実行するPowerShell命令が含まれています。

Malicious JavaScript code
悪意のあるJavaScriptコードがEXEをダウンロードし、実行する
()

現在までに複数のアンチウイルスエンジンによって確認されているように、この「l6E.exe」[VirusTotalの分析]はトロイの木馬であり、検知防止機能と永続化機能を備えています。

実行されると、このマルウェアはいくつかの不審なドメインに接触を試みますが、そのほとんどは本稿執筆時点では停止しています:

eemmbryequo.shop
keennylrwmqlw.shop
licenseodqwmqn.shop
reggwardssdqw.shop
relaxatinownio.shop
tendencctywop.shop
tesecuuweqo.shop
tryyudjasudqo.shop

は、このマルウェアが Lumma Stealer 情報窃取マルウェアであり、インストールされたウェブブラウザから認証情報、認証クッキー、閲覧履歴を窃取するために使用されることを確認しています。

このマルウェアは、暗号通貨のウォレットや、感染したデバイスから機密情報を含む可能性のあるファイルを盗み出すことも可能です。

GitHubの「問題」が引き金に

これらのメール通知はどのようにしてトリガーされているのだろうか?その秘密はGitHubの “Issues “機能にあります。この “Issues “機能は、オープンソースのリポジトリに殺到し、このキャンペーンをプッシュするために、脅威行為者によって悪用されています。

脅威行為者は偽のGitHubユーザー・アカウントを作成し、それを使ってオープンソース・プロジェクトに新しい「Issue」を開き、GitHub Scannerの偽ドメインにアクセスさせます。

GitHub issues filed on multiple repositories
複数のリポジトリに提出されたGitHubのIssue ()

このIssueの内容は、GitHubの公式サーバーから、問題のオープンソースリポジトリを購読している人にメールアラートとして配信されます。

ユーザーはこのようなメールのリンクや添付ファイルを開くことを控え、対応する「課題」をGitHubに報告して調査してもらう必要があります。

今回の事件は、GitHubのような非常に人気のあるプラットフォームが、悪意のあるユーザーによって悪用される可能性があることを示すものだ。

先月、GitHubのIssuesに寄せられた質問に対して、Lumma Stealerというマルウェアをインストールする偽の修正プログラムが返信されていることが報告された。

このようなキャンペーンは、開発者の認証情報を盗んでソースコードやプロジェクトにアクセスし、悪意のあるコードで修正してサプライチェーン攻撃を行うことを目的としている可能性が高い。

更新 9/19/24: このマルウェアが情報を盗むマルウェア「Lumma Stealer」であることを追記しました。

情報提供者のCody Nash氏に感謝する。