SecureListは12月23日(現地時間)、「Webrat, disguised as exploits, is spreading via GitHub repositories」において、GitHub上で「Webrat」と呼ばれるマルウェアの新バージョンが出回っていると伝えた。

新しいWebratの特徴は既知の脆弱性のための攻撃コードを装って、この攻撃コードを試そうとしたユーザーを標的にしている点である。

脆弱性を調査するセキュリティ研究者が攻撃対象か

Webrat自体は今年初頭からその存在が確認されているマルウェアで、侵入に成功すると、Steam、Discord、Telegramといったアカウントの認証情報に加えて、暗号資産ウォレットのデータを盗み出す。また、Webカメラの画像や、デスクトップのスクリーンショットを撮影することもできる。もともとは人気ゲームの海賊版や不正コードを装うことで、一般ユーザーを標的としていた。

しかし、9月ごろからはこのWebratの新しい亜種が出回り始めたという。この新型は、既知の脆弱性に対する攻撃コードを装っている点が、それまでのバージョンと大きく異なっている。

ソフトウェアに新しい脆弱性が発見・報告されると、その脆弱性はセキュリティ研究者によって調査される。研究者は、その調査の成果物の一種として概念実証(PoC)コードを公開することがある。これはその脆弱性を使った攻撃の仕組みを理解するためのもので、他の研究者やソフトウェア開発者は、この概念実証コードを参考にして対策を練ることができる。

Webrat亜種が対象としている脆弱性

新しいWebratは、このPoCコードを、マルウェアの配布手段として悪用している。GitHub上に、既知の脆弱性に対する攻撃コードを装ったリポジトリーを公開し、そのコード中にひそかにWebratのマルウェア本体を仕込むというわけだ。対象となった脆弱性としては次のものが挙げられている。

  • CVE-2025-59295(8.8): Windows MSHTML/Internet Explorerコンポーネントにおけるヒープベースのバッファーオーバーフローの脆弱性
  • CVE-2025-10294(9.8): WordPressのOwnIDパスワードレスログインプラグインにおける認証バイパスの脆弱性
  • CVE-2025-59230(7.8): Windowsのリモートアクセス接続マネージャー(RasMan)サービスにおける権限昇格の脆弱性

概念実証コードを装ったWebratはGitHubにホストされており、リポジトリには脆弱性に関する詳細な説明や影響を受けるシステムの仕様、PoCコードのインストールや実行のためのガイドなどが含まれている。これらの記述はAI生成された文書の特徴を備えているとのこと。

リポジトリからファイルをダウンロードして実行すると、マルウェアはまず権限を管理者レベルに昇格した上で、Webratの本体をダウンロードしてPCにバックドアを仕込む。マルウェアとしての機能そのものは従来のWebratと同様だという。

  • 新しいWebratの実行フローと機能 出典:SecurityList

    新しいWebratの実行フローと機能 出典:SecurityList

この新しい拡散の仕組みは、情報セキュリティの専門家や、この分野に興味を持つ技術者を攻撃の標的にするためのものだと考えられている。この種の攻撃を防ぐには、脆弱性情報や攻撃コードを扱う際の取り扱いに細心の注意を払う必要がある。たとえ研究や検証を目的とする場合でも、隔離された環境を使い、信頼性の高いセキュリティソフトウェアによる監視のもとで実行することが推奨されている。