GitHub公式を装うマルウェア配布攻撃「Repo Squatting」に注意：セキュリティニュースアラート

GitHubの仕様を悪用して公式を装うマルウェア配布手法が見つかった。解析妨害にGPU APIを使うが、実際には解析者を欺くフェイク処理だったという。一体どのような攻撃キャンペーンなのだろうか。

[ITmedia エンタープライズ編集部]

　GMOサイバーセキュリティbyイエラエ（以下、イエラエ）は2026年1月22日、「GitHub」の公開リポジトリーの仕様を悪用したマルウェア配布手法および、その内部で使われたGPU関連技術に関する詳細な分析結果を公表した。

　正規ソフトウェアを装ったインストーラーを通じて不正なプログラムを配布する攻撃キャンペーンを追跡した調査を報告している。

フォーク機能を悪用した「リポジトリ・スクワッティング」の仕組み

　攻撃者はGitHubのフォーク機能とコミット表示の仕組みを悪用し、公式リポジトリー配下に存在するかのように見えるコミットを作成していた。同社は公式の名前空間を不当に占拠するこの手法を「リポジトリ・スクワッティング（Repo Squatting）」と呼称している。攻撃は2025年9〜10月にかけて活発化し、開発者用のツールを検索する利用者を主な対象としていた。欧州地域を意識した広告配信が確認されたものの、国内での感染事例も観測されたとしている。

　不正な配布では、まず攻撃者がGitHubで公式リポジトリーをフォークし、「README」内のダウンロードリンクを改変した。そのコミットは、公式リポジトリーの名前空間下で参照できる状態となり、広告経由で誘導された利用者が閲覧、ダウンロードする事態につながった。「Windows」環境では多段階のローダーが実行され、macOS環境では別種の情報窃取型プログラムが配布されたという。

　イエラエは、配布されたWindows用インストーラーを解析し、内部に単一ファイル形式の.NETアプリケーションが埋め込まれていることを確認した。このプログラムは、暗号化された追加ペイロードを復号、実行する役割を担っていた。その過程で「OpenCL」と呼ばれるGPU用のAPIが利用されていた。一見するとGPUで複雑な鍵生成を実行しているように見えるが、実際には解析者を欺くためのフェイク処理で、解析環境によっては動作確認や挙動の把握が困難になる設計が施されていたとしている。

　調査ではOpenCLを使った処理が表面的にはGPUで鍵生成をするように見せつつ、実際には解析者を混乱させる目的で構成されている点が明らかになった。GPUドライバーや実行環境が整っていない仮想環境ではプログラムが途中で停止する挙動も確認されたという。イエラエは、物理的なGPUを備えた実機上でのデバッグによって、最終的な復号鍵と内部処理の全体像を把握したと説明している。

　最終段階では「HijackLoader」と呼ばれるローダー型マルウェアが展開され、追加の不正プログラムを取得、実行する仕組みが確認された。特定のセキュリティ製品関連プロセスを検知した場合に処理を遅延させる動作も含まれていたという。HijackLoaderは他の情報窃取型マルウェアなどを呼び込むために使われるツールとして知られている。

　GMOインターネットグループは、今回の調査で得られた知見を自社製品の防御機能向上に反映するとしており、確認された関連ドメインやファイルの識別情報も公開した。GitHubの仕様を踏まえた注意喚起と同時に、正規サイトからの入手確認の重要性を示す内容となっている。