Bleeping Computerは9月19日(米国時間)、「Clever 'GitHub Scanner' campaign abusing repos to push malware」において、攻撃者がGitHubのIssuesを悪用してマルウェアを配布したとして、注意を喚起した。被害者はGitHubから正規の通知メールを受信するが、本文には悪意のあるWebサイトへのリンクが記載されているという。

  • Clever 'GitHub Scanner' campaign abusing repos to push malware

    Clever 'GitHub Scanner' campaign abusing repos to push malware

攻撃手順

GitHubのIssuesは、リポジトリの作業、議論などを追跡できるコミュニケーションツール(参考:「About issues - GitHub Docs」)。GitHubユーザーはIssuesを使用してフィードバックを送受信することができる。

今回、攻撃者はこの機能を悪用するため、偽のGitHubアカウントを作成。偽アカウントから標的プロジェクトに偽Issueを報告することで、GitHubから悪意のあるメールを送信させている。メールはGitHub公式から送信されるため、メールフィルターなどを回避して被害者に送信される。

  • 脅威アクターが作成した偽Issueの例 - 引用:Bleeping Computer

    脅威アクターが作成した偽Issueの例 引用:Bleeping Computer

偽のIssueには悪意のあるWebサイト「github-scanner[.]com」へのリンクが存在し、言葉巧みに被害者を誘導する。悪意のあるWebサイトはCAPTCHAによる人間確認を行い、セキュリティ企業による自動検出を回避する。被害者がCAPTCHAを回避すると、「Verification Steps(検証手順)」と題するコマンドの実行手順が表示される。

  • コマンドの実行を指示する表示 - 引用:Bleeping Computer

    コマンドの実行を指示する表示  引用:Bleeping Computer

このときクリップボードには悪意のあるコマンドがコピーされており、被害者が指示通りに操作すると情報窃取マルウェア「Lumma Stealer」に感染する。Lumma StealerはWebブラウザの認証情報、Cookie、閲覧履歴、ウォレット、クレジットカード情報などさまざまな情報を窃取する機能があり、永続性も備えるとされる。

影響と対策

Bleeping Computerは、攻撃者が開発者の認証情報を窃取し、サプライチェーン攻撃を実行する恐れがあるとして注意を呼びかけている。GitHubを利用するすべての開発者に、このような攻撃手法が存在することを認識して警戒を緩めないことが望まれている。