GitHub を通じて情報奪取型のマルウェアが拡散

セキュリティメディアの「Security Week」によると、コードリポジトリの GitHub で悪性のキャンペーンが見つかったそうです。正常 GitHub プロフィールを通じて情報奪取型のマルウェアを配布していて、背後にはロシア語を使う人々がいるように見えます。このキャンペーンを通じて広がっているマルウェアの種類は多様ですが、代表的にはAtomic Stealer、Vidar、Lumma、Octo等があることが明らかになりました。これらは全て同じC＆Cで連携されていました。攻撃者は1Password、Bartender 5、Pixelmator Proというブランドを詐称することでマルウェアを配布できたそうです。

その他にも正常的なMac OSソフトウェアを広報する12個のウェブサイトが追加で発見されることもありました。サイトにアクセスしようとすると、攻撃者が作っておいた GitHub のプロフィールにバイパスでアクセスされ、このプロフィールではAtomic Stealerが配布されていると分析されました。時々Octoが配布される場合もありました。 GitHub のようなコードリポジトリで活動するディベロッパーはこの頃もっとも頻繁に攻撃の脅威にさらされています。

これについてRecorded Futureのある関係者は、「これからはリポジトリ等でコードを取る際には必ずスキャンの段階を踏まなければなりません。自動スキャン装置を開発環境に構築するのは基本だというのは過言ではありません」と加えました。