🛡 概要
最近特定された脅威グループ「水の呪い」が、正当なペネトレーションテストやセキュリティツールを装ったGitHubリポジトリを悪用し、マルウェアを配布しています。この攻撃はサプライチェーンを脅かし、特にサイバーセキュリティ専門家やゲーム開発者、DevOpsチームに影響を与えます。Trend Microの研究者たちは、この活動が新たに出現したグループによるものであると考えています。
🔍 技術詳細
水の呪いの攻撃は、悪意のあるビルドスクリプトやプロジェクトファイルを利用して、マルウェアを隠蔽しています。これらのリポジトリには、データの漏洩やリモートアクセス機能を持つマルウェアが含まれています。攻撃者は、Visual Studioのプロジェクト設定ファイルにSMTPメールボンバーやSakura-RATを埋め込むことで、正当なツールを装っています。攻撃の初期アクセスは、GitHub上のオープンソースプロジェクトファイルを通じて行われ、圧縮ファイルとしてダウンロードされます。これにより、悪意のあるバッチファイルがトリガーされ、VBScriptが起動し、PowerShellスクリプトが実行されます。CVE/CVSSに関する情報は確認できていませんが、Trend Microによると、これによりシステムの情報収集や特権昇格が行われます。
⚠ 影響
この攻撃は、サイバーセキュリティ専門家や企業環境に深刻なリスクをもたらします。悪意のあるインプラントが埋め込まれたツールは、信頼性の高いオープンソースソフトウェアを利用するユーザーを欺き、マルウェアを実行させる危険性があります。また、攻撃者はTelegramチャンネルやパブリックファイル共有サービスを利用してデータを漏洩させ、財務的な利益を狙っている可能性があります。さまざまなマルウェアや悪意のあるファイルが含まれており、サイバー犯罪と利益追求の戦略が融合しています。
🛠 対策
組織は、開発者やDevOpsチーム、ペネトレーションテスターに対してセキュリティ意識を高める必要があります。Trend Microは、すべてのサードパーティコードを確認し、内部コードリポジトリの使用を促進することを推奨しています。また、異常なビルドスクリプトや不審なファイル動作を検出するための検証プロセスを改善することで、リスクを大幅に軽減できるとしています。これにより、サプライチェーン攻撃からの防御が強化されるでしょう。
