Last Updated on 2024-04-24 08:26 by 荒木 啓介
ハッカーがGitHubとGitLabの未公開コメントを利用して、正規のオープンソースソフトウェアプロジェクトから発信されたように見せかけるフィッシングリンクを生成している。この手法は、リポジトリの所有者がその存在を知ることなく、また、知ったとしても対処できない状況を生み出している。この問題は、GitHubとGitLabの両方に影響しており、これらのプラットフォームはそれぞれ1億人以上、3000万人以上の登録ユーザーを持つ。
具体的には、ハッカーはマイクロソフトのGitHubホストされたリポジトリ「vcpkg」と「STL」に関連付けられたリンクを使用してRedline Stealer Trojanを配布した。この手法により、マルウェアを含むファイルがリポジトリに関連付けられたURLを通じて配布されるが、外見上は正規のリポジトリファイルへのリンクと区別がつかない。
この問題の根底にあるのは、GitHubやGitLabのコンテンツ配信ネットワーク(CDN)において、コメントとしてアップロードされたファイルに自動的にURLが割り当てられるという、非常にありふれた機能である。攻撃者は、コメントを公開せずにファイルをアップロードするだけで、リポジトリに関連付けられた作業リンクを生成し、フィッシング攻撃に利用できる。
この問題に対する直接的な対処法は現在のところ存在せず、リポジトリの所有者はプロジェクトに添付されたファイルを管理する設定を持っていない。GitHubとGitLabにはこの問題の修正計画を問い合わせたが、記事作成時点で返答はない。
【ニュース解説】
GitHubやGitLabといった人気のソフトウェア開発プラットフォームが、ハッカーによる巧妙なフィッシング攻撃の舞台となっています。これらのプラットフォームでは、開発者がオープンソースソフトウェア(OSS)プロジェクトに対してコメントを残す際に、ファイルを添付することがあります。添付されたファイルは自動的にURLが割り当てられ、そのURLはプロジェクトに関連付けられます。ハッカーはこの機能を悪用し、マルウェアを含むファイルをアップロードして、正規のプロジェクトから発信されたように見せかけるフィッシングリンクを生成しています。この手法により、リポジトリの所有者やプラットフォーム自体がその存在を知ることなく、また、知ったとしても対処できない状況が生まれています。
この問題は、GitHubとGitLabの両方に影響しており、それぞれ1億人以上、3000万人以上の登録ユーザーを持つこれらのプラットフォームでのセキュリティリスクを示しています。特に、マイクロソフトのGitHubホストされたリポジトリ「vcpkg」と「STL」を利用したRedline Stealer Trojanの配布事例が報告されています。
この問題の核心にあるのは、コメントとしてアップロードされたファイルに自動的にURLが割り当てられるという、非常に基本的な機能です。攻撃者は、コメントを公開することなく、またはコメントを削除した後でも、リポジトリに関連付けられたURLを通じてマルウェアを配布することができます。これにより、フィッシング攻撃がより信頼性を持ち、被害者を騙しやすくなります。
この問題に対する直接的な対処法は現在のところ存在せず、リポジトリの所有者はプロジェクトに添付されたファイルを管理する設定を持っていません。GitHubとGitLabにはこの問題の修正計画を問い合わせたが、記事作成時点で返答はありません。
この状況は、開発者やユーザーにとって、リンクの安全性に対する新たな認識を促すものです。信頼できるベンダーの名前がURLに含まれているからといって、そのリンクが安全であるとは限らないことを理解し、リンクをクリックする前にはより慎重な検討が求められます。また、この問題は、GitHubやGitLabなどのプラットフォームが、ユーザーとプロジェクトのセキュリティを保護するために、システムの見直しや改善を急ぐ必要があることを示しています。長期的には、このようなセキュリティの脆弱性を解決するための新たな対策や機能の開発が期待されます。
from Hackers Create Legit Phishing Links With Ghost GitHub, GitLab Comments.
