Last Updated on 2025-06-17 09:19 by admin
Trend Microの研究者が2025年6月17日、新興脅威グループ「Water Curse」によるGitHubを悪用したサプライチェーン攻撃を発見したと発表した。
Water Curseは2023年3月から活動を開始し、少なくとも76のGitHubアカウントを使用して武器化されたリポジトリを配信している。
攻撃者は正規のペネトレーションテストツールやゲームチート、暗号通貨ウォレットツールなどを装い、Visual Studioプロジェクト設定ファイル内にSMTPメールボマーやSakura-RATなどのマルウェアを埋め込んでいる。
マルウェアはChrome、Edge、Firefoxからパスワードや閲覧履歴、GitHubとChatGPTのセッション情報を窃取し、7-Zipでパッケージ化してTelegramチャンネルや公開ファイル共有サービスを通じて送信する。
主な標的はサイバーセキュリティ専門家、ゲーム開発者、DevOpsチームで、codeload.github.comドメインを通じたZIPアーカイブダウンロードで感染が拡大している。
From: 
‘Water Curse’ Targets Infosec Pros via Poisoned GitHub Repositories
【編集部解説】
今回のWater Curseによる攻撃は、オープンソース開発エコシステムの根幹を揺るがす深刻な事案です。GitHubという世界最大級の開発プラットフォームが悪用されたことで、従来のセキュリティ対策の盲点が浮き彫りになりました。
この攻撃手法の巧妙さは、開発者が日常的に抱く「オープンソースへの信頼」を逆手に取った点にあります。ペネトレーションテストツールやゲームチート、暗号通貨ウォレットツールなど、実際に需要のあるカテゴリを装うことで、標的となるユーザーを自然に誘導しています。
特に注目すべきは、Visual Studioの<PreBuildEvent>タグを悪用した感染メカニズムです。これはコンパイル時に自動実行される仕組みを利用しており、開発者が気づかないうちにマルウェアが展開される設計となっています。
Water Curseが2023年3月から活動を続け、76のGitHubアカウントを運用している事実は、この攻撃が組織的かつ長期的な戦略に基づいていることを示しています。単発的なサイバー犯罪ではなく、持続可能なビジネスモデルとして運営されている可能性が高いでしょう。
この事案が開発コミュニティに与える影響は計り知れません。オープンソースソフトウェアの信頼性に疑問符が付くことで、企業の内製化志向が加速する可能性があります。
一方で、この攻撃は現代のサプライチェーンセキュリティの課題を明確に示しています。従来のエンドポイント保護やネットワークセキュリティだけでは対応できない、新たな脅威モデルへの対応が急務となっています。
長期的には、コード署名の義務化やリポジトリの検証システム強化など、プラットフォーム側での根本的な対策が求められるでしょう。開発者個人の注意力に依存した現在のセキュリティモデルは、もはや限界に達していると言えます。
【用語解説】
Water Curse
2023年3月から活動している新興サイバー犯罪グループ。GitHubを悪用してマルウェアを配布し、サイバーセキュリティ専門家やゲーム開発者を標的としている。
サプライチェーン攻撃
ソフトウェアの開発・配布過程において、信頼されたツールやプラットフォームを悪用して標的システムに侵入する攻撃手法。
ペネトレーションテスト
システムの脆弱性を発見するため、実際の攻撃手法を用いてセキュリティ強度を検証する手法。
Sakura-RAT
リモートアクセストロイの一種で、感染したコンピュータを遠隔操作可能にする悪意のあるソフトウェア。
SMTPメールボマー
大量のメールを送信してメールサーバーやメールボックスを機能停止に追い込むDoS攻撃ツール。
PreBuildEvent
Visual Studioのプロジェクト設定で、コンパイル前に自動実行されるコマンドやスクリプトを指定するタグ。
DevOpsチーム
開発(Development)と運用(Operations)を統合し、ソフトウェアの開発から運用までを効率化する手法を実践するチーム。
【参考リンク】
Trend Micro(外部)
世界的なサイバーセキュリティ企業。30年以上の実績を持ち、企業向けセキュリティソリューションを提供している。
GitHub(外部)
世界最大級のソフトウェア開発プラットフォーム。2023年にユーザー数1億人を突破し、オープンソースプロジェクトのホスティングサービスを提供。
7-Zip(外部)
高効率なファイル圧縮・展開を行うオープンソースソフトウェア。様々なファイル形式に対応し、無料で利用できる。
Microsoft Visual Studio(外部)
マイクロソフトが提供する統合開発環境。C#、C++、Python等の多言語に対応し、アプリケーション開発の全工程をサポート。
【参考記事】
Clone, Compile, Compromise: Water Curse’s Open-Source Malware Trap on GitHub(外部)
Trend Microによる詳細な技術分析レポート。Water Curseの攻撃手法、使用されたマルウェア、感染チェーンについて包括的に解説。
【編集部後記】
今回のWater Curse事案を受けて、皆さんの開発環境はいかがでしょうか。GitHubから日常的にツールをダウンロードされている方も多いと思いますが、この機会に一度、使用しているオープンソースツールの出所を振り返ってみませんか。
特にペネトレーションテストツールやゲーム開発ツールを扱う方は、どのような検証プロセスを経てツールを選定されているのか、ぜひSNSで教えてください。
また、企業のDevOpsチームの方々は、内部リポジトリの活用状況や、サードパーティコードの検証体制について、現場の生の声をお聞かせいただけると嬉しいです。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
