GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ:この頃、セキュリティ界隈で
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。
サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。
攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
ユーザーが正規のリポジトリだと思ってこうした不正なリポジトリを使うと、隠しコードが作動して不正なPythonコードや実行可能ファイルを呼び込む仕組み。これを使ってさまざまなアプリの認証情報やWebブラウザのパスワードとcookieなどの情報を収集し、攻撃者が管理するサーバに送信して、その後も長期間にわたって不正な活動を継続する。
フォークされた不正なリポジトリはすぐにGitHubが削除しているが、自動検出で見落とされるリポジトリも多く、手動でアップロード済みのリポジトリは削除されないまま残る。「そうした形で残った1%だけでも、数は数千に上る」とApiiroは推測する。
さらに、何も知らないユーザーが、マルウェアを拡散させているとは知らず、悪質なリポジトリをフォークしてしまうケースもあるという。
ソフトウェア開発者の人材募集……とみせかけてマルウェア
23年5月にはPython用ソフトウェアリポジトリ「PyPI」でも、同様の手口でマルウェアが仕込まれたパッケージが見つかっていた。そうしたパッケージがGitHubの人気リポジトリのフォークに埋め込まれて拡散したと思われる。
同年7〜8月になるとPyPIパッケージを経由せずに、悪意あるリポジトリがGitHubにアップロードされるようになった。そうしたリポジトリは7月の時点ではまだ100に満たなかったが、11月にApiiroが検出した件数は10万を超え、さらに増え続けているという。
GitHubのリポジトリ悪用については、サイバーセキュリティ大手の米Palo Alto Network内組織の「Unit 42」や、サプライチェーンセキュリティの新興企業である米Phylumも伝えている。中でもソフトウェア開発者の人材募集と見せかけてマルウェアに感染させようとする手口は、北朝鮮の関与が疑われるとしている。
GitHubのリポジトリ経由でソフトウェアのサプライチェーンにマルウェアを仕込もうとするこうした手口は、「サプライチェーンのセキュリティがどれほど脆弱かを見せつけた」とApiiroは言う。
その背景として「GitHubでは快適なAPIを使ってアカウントやリポジトリを簡単に自動生成でき、レート制限は容易にかわせてしまう。隠れられるリポジトリが膨大にあって、ソフトウェアのサプライチェーンをこっそりマルウェアに感染させる格好の標的となっている」と分析している。
関連記事
- 「スマート歯ブラシ300万本を乗っ取ってDDoS攻撃」海外メディアで誤報相次ぐ “IoTテロ”は現実に起こるのか?
IoT電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は事実ではなかったことが判明した。実際にIoT歯ブラシがDDoS攻撃に利用される可能性はあるのか? - 中国のネット監視・検閲「グレートファイアウォール」を個人で再現 オープンソース「OpenGFW」公開中
米国の研究機関であるAperture Internet Laboratoryは、Linuxで動作する中国のインターネット検閲システム「グレートファイアウォール」をオープンソースで実装したシステム「OpenGFW」を発表した。 - サイバー攻撃からの復旧にかかった時間、「2日以上」が6割超 デル調査
サイバー攻撃を受けた組織は、復旧までにどれだけの時間を要するのか──デル・テクノロジーズが1月31日、こんな調査結果を発表した。 - 「もしサイバー攻撃を受けたら?」を考えたことはありますか ITセキュリティの新常識「サイバーレジリエンス」を理解する
セキュリティの注目ワード「サイバーレジリエンス」について解説。新しい考え方が求められる背景と合わせて説明する。 - Xで横行する「アカウント乗っ取り」と「暗号通貨詐欺」 米SECも「ビットコインETFを承認」と偽投稿の被害に 対策は?
米証券取引委員会(SEC)のX公式アカウントが乗っ取られて偽情報がポストされる事件が起きた。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行していた。攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。
Copyright © ITmedia, Inc. All Rights Reserved.