記事本文(要約)
Sophosの研究者が発見したキャンペーンでは、ハッカーがGitHub上で公開されたソースコードを利用して、他のハッカーやゲーマー、研究者を狙っています。このコードには隠れたバックドアが含まれており、脅威アクターが感染したデバイスへのリモートアクセスを可能にします。特に「Sakura RAT」というリモートアクセス型トロイの木馬が関連しており、これはGitHubで無料で入手可能です。このRATのコードはほとんど機能しませんが、Visual Studioプロジェクトの中にPreBuildEventが仕込まれており、それをコンパイルしようとするとマルウェアがダウンロードされます。
発見された「ischhfd83」アカウントは141のリポジトリに関連しており、そのうち133は隠れたバックドアを仕込んでいます。これらには、Pythonスクリプト、Unicodeトリックを利用したスクリーンセーバー、JavaScript、Visual StudioのPreBuildイベントが含まれており、マルウェアをインストールする仕組みが組み込まれています。これらのリポジトリはYouTubeやDiscord、サイバー犯罪フォーラムからのトラフィックを受けており、その一部は「スクリプトキディ」と呼ばれる初心者の興味を惹きつけています。
初期感染はVBSスクリプト、PowerShell、7zipアーカイブ、Electronアプリを利用し、最終的には情報窃取ツールや他のトロイの木馬(Lumma Stealer、AsyncRAT、Remcosなど)がダウンロードされます。このようにして、個人情報やデータが盗まれるリスクが高まっています。オープンソースからのソフトウェアをコンパイルする際には、コードを詳しく検証し、ビルドイベントを確認することが重要です。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 04 Jun 2025 06:00:00 -0400
Original URL: https://www.bleepingcomputer.com/news/security/hacker-targets-other-hackers-and-gamers-with-backdoored-github-code/
詳細な技術情報
この攻撃キャンペーンについて詳細に分析します。
1. CVE番号:
この分析には特定のCVE番号が明示されていませんが、関連する脆弱性が発見されれば、個別にCVE番号が割り当てられる可能性があります。
2. 脆弱性の仕組み:
- GitHubリポジトリの悪用: 攻撃者はGitHubにホストされているソースコードにバックドアを仕込み、これによりリポジトリをダウンロードしたユーザーのデバイスにリモートアクセスする手段を得ています。
- Visual Studio PreBuildEventの悪用: Visual StudioプロジェクトのPreBuildEventを利用して、マルウェアをユーザーのデバイスにダウンロードしてインストールする仕組みがあります。
3. 攻撃手法:
- 偽のプロジェクトの利用: 偽のエクスプロイトビルダーやゲームチートツールなどを提供することで、ターゲットユーザーにソースコードをダウンロードさせています。
- 後方扉技術の利用: ダウンロードしたコードを実行またはビルドすることで始動する多段階にわたる感染プロセスを利用しています。
- 自動コミットの利用: 自動化されたワークフローを利用し、多数のコミットを行うことにより、プロジェクトの信頼性を偽装しています。
4. 潜在的な影響:
- システム侵害: 攻撃者がリモートアクセスを得ることで、システムプロファイリング、コマンド実行、Windows Defenderの無効化、データの盗難などが可能になります。
- 情報窃取: 提供されるペイロードの中には、Lumma Stealer、AsyncRAT、Remcosといった情報盗難を目的としたトロイの木馬が含まれています。
5. 推奨される対策:
- ソースコードの検証: ダウンロードしたオープンソースプロジェクトのビルドイベントを含むすべてのコードを慎重に検証すること。
- セキュリティツールの利用: ダウンロードしたプロジェクトをチェックするために信頼できるセキュリティツールを使用し、マルウェアの存在を確認すること。
- 信頼できるソースからのコード取得: GitHubなどのオープンソースプラットフォームからコードをダウンロードする際には、信頼できるソースとプロジェクトを選ぶこと。
- 教育と意識向上: 開発者やユーザーに対して、オープンソースコードを利用する際の潜在的なリスクについて教育し、安全な利用法を促すこと。
