GitVenomと名付けられたマルウェア・キャンペーンは、何百ものGitHubリポジトリを利用してユーザーを騙し、情報窃盗やリモート・アクセス・トロイの木馬(RAT)、クリップボード・ハイジャッカーをダウンロードさせ、暗号や認証情報を盗み出す。
カスペルスキーによると、GitVenomは少なくとも2年前から活動しており、世界中のユーザーを標的にしているが、特にロシア、ブラジル、トルコに集中しているという。
「GitVenomのキャンペーン期間中、その背後にいる脅威アクターは、悪意のあるコードを含む偽のプロジェクトを含むGitHub上の何百ものリポジトリを作成しました。例えば、Instagramのアカウントと対話するための自動化ツール、ビットコインウォレットを管理するためのTelegramボット、ビデオゲームValorant用のハッキングツールなどです」とカスペルスキーのGeorgy Kucherinは説明しています。
Source:カスペルスキー
研究者は、偽のリポジトリは、おそらくAIツールの助けを借りて、詳細と適切に書かれたReadmeファイルを備えて、慎重に細工されていると説明しています。
さらに、これらのリポジトリに提出されたコミット数を人為的に膨らませ、アクティビティが活発であるかのような偽のイメージを作り出し、信頼性を高める手口も用いているという。
出典:Kaspersky:カスペルスキー
GitHubプロジェクトに潜むマルウェア
カスペルスキーがGitVenomキャンペーンをサポートする複数のリポジトリを分析した結果、プロジェクトに注入された悪意のあるコードは、Python、JavaScript、C、C++、C#など、さまざまな言語で書かれていることが判明した。
異なる言語は、特定のコード・レビュ・ツールや手法による検出を回避するために使用されていると考えられる。
被害者がペイロードを実行すると、注入されたコードは攻撃者が管理するGitHubリポジトリからセカンドステージをダウンロードします。
カスペルスキーは、GitVenomで使用されている以下のツールを発見しました:
- Node.js stealer– 保存された認証情報、暗号通貨のウォレット情報、閲覧履歴を狙うInfostealer。データを.7zアーカイブに圧縮し、Telegram経由で流出させる。
- AsyncRAT– リモートコントロール、キーロギング、スクリーンキャプチャ、ファイル操作、コマンド実行を可能にするオープンソースの RAT。
- Quasar backdoor– AsyncRAT と似た機能を持つオープンソースの RAT。
- クリップボードハイジャッカー – 被害者のクリップボードの暗号通貨ウォレットのアドレスを監視し、攻撃者が管理するアドレスに置き換えて、資金をハッカーにリダイレクトするマルウェア。
このレポートでは、2024年11月に攻撃者のビットコイン・ウォレットが50万米ドル相当の5BTCを受け取った事例を紹介している。
出典:Kaspersky:カスペルスキー
このキャンペーンから身を守る
通常のソフトウェアやPoCエクスプロイトを装って GitHubリポジトリに潜むマルウェアは目新しいものではないが、GitVenomの期間と規模は、正当なプラットフォームの悪用が非常に効果的であり続けていることを証明している。
プロジェクトのファイルを使用する前に、リポジトリのコンテンツを検査し、アンチウイルス・ツールでファイルをスキャンし、ダウンロードしたファイルを隔離された環境で実行するなどして、徹底的に検証することが極めて重要です。
レッドフラグには、難読化されたコード、通常とは異なる自動コミット、AIが作成したと思われる過度に詳細なReadmeファイルなどがあります。
Comments