ReversingLabsは12月19日(米国時間)、「Malware leveraging public infrastructure like GitHub on the rise」において、GitHubなどのインフラを悪用するマルウェアにおいて、新しい2つの手法を使用するマルウェアを発見したと報じた。これらマルウェアはGitHub Gistとコミットメッセージを悪用するとして注意を促している。

  • Malware leveraging public infrastructure like GitHub on the rise

    Malware leveraging public infrastructure like GitHub on the rise

GitHub Gistとコミットメッセージの悪用するサイバー攻撃の手法

従来のマルウェアキャンペーンでは第2段階のマルウェア配布のホストサーバに、Dropbox、Google Drive、OneDrive、Discordなどが悪用されてきた。近年はGitHubなどのオープンソース開発プラットフォームの悪用の増加が観察されている。今回、GitHub Gistとコミットメッセージの悪用が観察されたとして、これら2つの新しいテクニックの詳細を解説した。

Gistは開発者間でコード修正の共有を可能とするGitHubの機能。Gistを悪用した事案では、ネットワークプロキシを処理するライブラリを装った悪意のあるPyPIパッケージから悪用された。発見されたパッケージにはテレメトリデータとしてBase64エンコードされた文字列が含まれているが、実際はGistへのURLをエンコードした文字列が格納されている。パッケージのインストール時にこのURLがデコードされ、GistからBase64エンコードされたPythonコードを取得、実行する。

コミットメッセージを悪用した事例においても、不正なPyPIパッケージから悪用されたことが確認されている。これらパッケージをインストールすると特定のGitHubリポジトリのクローンを取得。このリポジトリのHeadコミットメッセージが特定の文字列ではじまる場合、残りの部分がBase64でエンコードされたPythonコードであるため、 これをデコードして実行する。

GitHubをマルウェア配布のインフラの一部として悪用することはそれほど新しいことではない。しかしながら、Gistやコミットメッセージの悪用は新しいアプローチとされる。ReversingLabsの研究者はこれら手法が似ていることから、これらマルウェアキャンペーンの背後には同一のマルウェア開発者が存在する可能性があると指摘している。

PyPIパッケージを悪用する攻撃への対処法

ReversingLabsの調査で確認された悪意のあるPyPIパッケージはすでに削除されている。しかしながら、ReversingLabsの研究者はマルウェアの開発者が新しいマルウェアを公開しているとして、今後も同様の手法を使用したマルウェアが増加すると予測している。

PyPIパッケージを利用する開発者は、このような攻撃から製品を保護するために、複雑なバイナリ分析が可能な最新のセキュリティソリューションの導入が推奨されている。また、ReversingLabsは調査の過程で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。