GitVenomはマルウェアを使った攻撃キャンペーンにつけられた名称です。
このキャンペーンは大規模に展開されています。
どのような活動なのでしょうか。
- 舞台はGitHub
キャンペーンの舞台はGitHubです。
脅威アクターは攻撃のためのコードを埋め込んだプロジェクトを作成し、それをGitHubで公開します。 - 活発な活動を装う
GitHubで公開されているプロジェクトは、活動の様子が見えるようになっています。
スターの数、forkの数、ブランチの数、など多くの活動や注目度が感じられる指標がありますが、そういったものの一つにcommit数があります。
攻撃者は用意したプロジェクトに機械的に多数のcommitを実行し、commit数を増やします。
これそのものには意味がないのですが、見た目のcommit数が増えるので、プロジェクトが活発な活動があるように見えます。
閲覧者の信頼を得るための工夫ということに思えます。 - 複数の言語で問題検出を回避
防御側の機構も進化しています。
悪意あるコードが含まれているのかを判定できる機能を持つセキュリティソリューションも出てきています。
そういったものによる検出を回避するためと想像されるつくりになっていることが確認されています。
攻撃のために用意されたプロジェクトでは、複数のコンピュータ言語が使用されていたのです。
確認されたのは、Python、JavaScript、C、C++、C#、です。 - 多数の攻撃用プロジェクトの公開
いろいろな人の目に留まることを狙ったものと思われますが、公開されているプロジェクトのREADME.mdに謳われる内容は、Instagramアカウントとやり取りするための自動化ツール、ビットコインウォレットを管理できる Telegramボット、ビデオゲームValorantのハッキングツールなどの内容になっていました。
README.mdは生成AIを使うなどして書かれているのか、いかにもそれらしい内容に仕上がっていました。 - ペイロードの入手
攻撃用プロジェクトは多数の言語で書かれているのですが、それらからたどりつく行き先は一つのプロジェクトになっていました。
行き先も攻撃者が作成したプロジェクトです。
多数の言語で書かれたコードは、いずれもこの悪意あるコンポーネントをダウンロードして実行するという内容となっていました。
悪意あるコンポーネントの内容は次のようなものでした。- 認証情報、暗号通貨ウォレットデータなどを盗み出すNode.jsスティーラー
- オープンソースのAsyncRATインプラント
- オープンソースのQuasarバックドア
- クリップボードハイジャッカー
GitHubでは、いろいろな有用なコードが公開されています。
そういったものを有効に利用していくことは効率的に実施したいことを達成できることに繋がります。
しかし公開されているものを利用する際には内容をよく確認する必要があります。
欲しかった機能を実行できているように見える裏側で期待しない機構が動作してしまうようなことにならないようにしましょう。
The GitVenom campaign: cryptocurrency theft using GitHub
https://securelist.com/gitvenom-campaign/115694/
| この記事をシェア |
|
|---|
