Last Updated on 2025-02-25 08:50 by admin
GitVenom、偽装GitHubプロジェクトがスティーラーを配布
攻撃の概要
- カスペルスキー社が発見した新たなサイバー攻撃キャンペーン「GitVenom」
- GitHubプラットフォーム上で展開されている
- 2023年から現在(2025年2月)まで継続している攻撃
攻撃手法
- 数百の偽装GitHubリポジトリを作成
- 主な偽装プロジェクト
- Instagramアカウント操作用の自動化ツール
- ビットコインウォレット管理用Telegramボット
- Valorantゲーム用ハッキングツール
技術的特徴
- 使用されているプログラミング言語:Python、JavaScript、C、C++、C#
- AIツールで生成された精巧なREADME.mdファイルを使用
- タイムスタンプファイルを数分ごとに更新し、コミット数を水増し
被害状況
- 2024年11月時点で約5BTC(約485,000 USD)の被害を確認
- 主な被害国:ロシア、ブラジル、トルコ
- 配布される不正プログラム:
- Node.jsスティーラー
- AsyncRATインプラント
- Quasarバックドア
- クリップボードハイジャッカー
技術的識別情報
- 感染したリポジトリのハッシュ値
- 63739e000601afde38570bfb9c8ba589
- 3684907e595cd04bf30b27d21580a7c6
- C2サーバーアドレス:68.81[.]155
【編集部解説】
カスペルスキー社のグローバルリサーチ&アナリシスチーム(GReAT)が発見したGitVenomキャンペーンは、オープンソースコミュニティの信頼を巧妙に悪用した新しい形のサイバー攻撃として注目に値します。
この攻撃の特徴的な点は、AIを活用して精巧に作られたREADME.mdファイルや、自動更新によるコミット履歴の水増しなど、正当なプロジェクトを装うための綿密な工作が施されていることです。
特に懸念されるのは、攻撃者たちがプログラミング言語ごとに異なる手法でマルウェアを埋め込んでいる点です。これは、開発者それぞれの開発環境に応じた攻撃を可能にしています。
開発者コミュニティへの影響
GitHubは世界中の開発者にとって重要なプラットフォームであり、今回の事案はオープンソースコミュニティ全体に大きな影響を与える可能性があります。特に、暗号資産関連のプロジェクトを探している開発者たちが標的となっているのは、攻撃者たちが最も収益を得やすい領域を狙っているためと考えられます。
セキュリティ対策の新たな課題
従来のマルウェア対策では検出が難しい、このような高度な偽装を施された攻撃に対しては、コードレビューの方法自体を見直す必要があります。特に、Visual Studioのプロジェクトファイルに潜むマルウェアは、ビルド時に実行される仕組みを悪用しており、従来の静的解析では発見が困難です。
今後の展望と対策
このような攻撃に対しては、コードの実行前に徹底的な検証を行うことが重要です。特に、プロジェクトの評判、コミット履歴の自然さ、コードの品質などを総合的に判断する必要があります。
また、開発者コミュニティ全体として、コードの信頼性を確保するための新たな仕組みづくりが求められています。例えば、信頼できるリポジトリの認証制度や、自動化されたコード検証システムの導入などが考えられます。
まとめ
特に暗号資産関連のプロジェクトを扱う際は、たとえGitHub上で人気のあるプロジェクトであっても、コードの詳細な確認を怠らないようにしましょう。また、Visual Studioのプロジェクトファイルについても、ビルド設定を含めた慎重な確認が必要です。