フェイクのGitHubリポジトリが世界中の開発者にマルウェアを拡散

GitHubで200以上の偽のプロジェクトが悪意のあるソフトウェアを拡散していることが明らかになりました。これには、パスワードを盗むツール、活動を監視するツール、暗号通貨を盗むツールが含まれています。

このスキーム、GitVenomと名付けられ、2年以上にわたり世界中の開発者に影響を与えてきました。これは、Kasperskyによる分析で報告されました。

GitHubは、プログラマーがプロジェクトのコードを見つけたり共有したりするための人気のプラットフォームです。一般的なコーディングの問題に対する事前に書かれたソリューションを提供するため、時間を節約する貴重なリソースとなります。しかし、このオープンさが、予想外のユーザーを狙ったサイバー犯罪者に利用される余地をもたらしています。

偽のリポジトリは一見すると説得力があります。Telegramボットやゲームのハック、Bitcoinウォレットを管理するツールなど、有用そうなプロジェクトが含まれています。

攻撃者たちは、AIを使って複数の言語で利用できるように、丁寧に書かれた指示書を作成しました。さらに、リポジトリには数千のコード更新が含まれており、それらは本物で信頼できるように見えます。

しかし実際には、これらのリポジトリ内のコードは主張していることを実行しません。代わりに、ユーザーのコンピューターに秘密裏に有害なソフトウェアをインストールします。これには、ユーザー名、パスワード、ブラウザの履歴、そして暗号通貨ウォレットの情報を収集するスティーラーが含まれています。

別のツールであるAsyncRATは、ハッカーが遠隔でコンピュータを制御し、キーストロークを記録することを可能にします。同様のバックドアであるQuasarは、ハッカーにデバイスの完全な制御を提供します。

最も危険なコンポーネントの一つであるクリッパーは、クリップボード内の暗号通貨のウォレットアドレスをハッカー自身のものに変更し、それが資金の盗難につながることがあります。一例として、攻撃者がビットコインで約485,000ドルを受け取ったとKasperskyが報告しています。

GitVenomは、ロシア、ブラジル、トルコを含むいくつかの国の開発者に影響を与えています。これは、GitHubや他のオープンプラットフォームからコードをダウンロードする際の注意の重要性を再認識させる事例となりました。

カスペルスキーは、開発者が自身を保護するためには、プロジェクトに使用する前に常にコードを分析し、デバイスがアンチウイルスソフトウェアで保護されていることを確認するべきだとアドバイスしています。プロジェクトの詳細をチェックすること、例えば新しいアカウントが星の数が少ない、または作成日が最近であるなどの警告サインを探すことが重要です。

開発者は、特にチャットや疑わしいウェブサイトからの不審なリンクからのファイルダウンロードも避けるべきです。また、疑わしいリポジトリをGitHubに報告することで、さらなる攻撃を防ぐのに役立ちます。