GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。

GitHubに10万を超える悪質リポジトリ　サイバーセキュリティ企業が注意喚起　

　サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン（取り違え）攻撃」は2023年11月ごろから激化したという。

　攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。

　ユーザーが正規のリポジトリだと思ってこうした不正なリポジトリを使うと、隠しコードが作動して不正なPythonコードや実行可能ファイルを呼び込む仕組み。これを使ってさまざまなアプリの認証情報やWebブラウザのパスワードとcookieなどの情報を収集し、攻撃者が管理するサーバに送信して、その後も長期間にわたって不正な活動を継続する。

　フォークされた不正なリポジトリはすぐにGitHubが削除しているが、自動検出で見落とされるリポジトリも多く、手動でアップロード済みのリポジトリは削除されないまま残る。「そうした形で残った1％だけでも、数は数千に上る」とApiiroは推測する。

　さらに、何も知らないユーザーが、マルウェアを拡散させているとは知らず、悪質なリポジトリをフォークしてしまうケースもあるという。

ソフトウェア開発者の人材募集……とみせかけてマルウェア

　23年5月にはPython用ソフトウェアリポジトリ「PyPI」でも、同様の手口でマルウェアが仕込まれたパッケージが見つかっていた。そうしたパッケージがGitHubの人気リポジトリのフォークに埋め込まれて拡散したと思われる。

Python用ソフトウェアリポジトリ「PyPI」

　同年7〜8月になるとPyPIパッケージを経由せずに、悪意あるリポジトリがGitHubにアップロードされるようになった。そうしたリポジトリは7月の時点ではまだ100に満たなかったが、11月にApiiroが検出した件数は10万を超え、さらに増え続けているという。

　GitHubのリポジトリ悪用については、サイバーセキュリティ大手の米Palo Alto Network内組織の「Unit 42」や、サプライチェーンセキュリティの新興企業である米Phylumも伝えている。中でもソフトウェア開発者の人材募集と見せかけてマルウェアに感染させようとする手口は、北朝鮮の関与が疑われるとしている。

　GitHubのリポジトリ経由でソフトウェアのサプライチェーンにマルウェアを仕込もうとするこうした手口は、「サプライチェーンのセキュリティがどれほど脆弱かを見せつけた」とApiiroは言う。

　その背景として「GitHubでは快適なAPIを使ってアカウントやリポジトリを簡単に自動生成でき、レート制限は容易にかわせてしまう。隠れられるリポジトリが膨大にあって、ソフトウェアのサプライチェーンをこっそりマルウェアに感染させる格好の標的となっている」と分析している。