GitHubから悪意あるVisual Studioプロジェクト配布、注意を
マイナビニュース / 2024年4月12日 8時46分
Checkmarxは4月10日(米国時間)、「New Technique Detected in an Open Source Supply Chain Attack」において、GitHubリポジトリから悪意のあるVisual Studioプロジェクトが配布されたとして、注意を呼び掛けた。このプロジェクトをビルドすると悪意のあるコードが実行され、マルウェア「Keyzetsu Clipper」の亜種がインストールされるという。
○悪意のあるVisual Studioプロジェクトの詳細
Checkmarxによると、発見された悪意のあるVisual Studioプロジェクトは、多くの被害者を生み出すためにGitHubの検索システムを悪用するという。GitHubには「Sort by: Recently updated(最近更新されたもの)」という検索フィルターが存在する。この検索結果の上位に表示され続けるために、GitHub Actionsを利用して自動的に小さな変更を頻繁に繰り返す。
また、リポジトリの信頼性を向上させるために架空のユーザーを作成し、控えめな数の偽スターを追加するという。リポジトリのStargazersを確認すると、ほぼ同一期間に作成されたアカウントからスターが付けられており不自然なことがわかる。
悪意のあるコードはリポジトリの「.csproj」または「.vcxproj」ファイルに埋め込まれており、ビルドプロセスの初期段階(PreBuildEvent)にて実行される。VBScriptで記述されたこのコードは難読化されたPowerShellスクリプトを展開して実行する。PowerShellスクリプトは次の処理を実行する。
環境のIPアドレスから国コードを区別し、ロシアで実行されているか判断する
国コードに基づいて特定のURLから暗号化されたペイロードをダウンロードする
ペイロードを復号して実行する
○マルウェア「Keyzetsu Clipper」の亜種
最終的に実行されるマルウェアはセキュリティソリューションの検出を回避するために、サイズを750MBにパディングしているという。そのため、VirusTotalに登録・調査することはできない。
マルウェアを分析したところ、「Keyzetsu Clipper」と類似点があるとされ、その亜種とみられている。このマルウェアはクリップボードを監視して暗号資産ウォレットのアドレスを攻撃者のアドレスに差し替える機能を持ち、暗号資産を窃取するとされる。
○対策
-
- 1
- 2
この記事に関連するニュース
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
新種のバックドア「MadMxShell」、Google広告を悪用する手口
マイナビニュース / 2024年4月29日 11時31分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
Windowsスクリプトから配布されるワーム「Raspberry Robin」、HPが注意喚起
マイナビニュース / 2024年4月15日 9時57分
-
Androidバンキング型マルウェア「Vultur」に亜種、警戒を
マイナビニュース / 2024年4月3日 8時43分
ランキング
-
1ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
-
2「そっち使うの?!」「これは天才」 さびだらけの鉄くぎをぐつぐつ煮込むと……? DIYに役立つ“まさかの使い道”が200万再生
ねとらぼ / 2024年5月2日 12時15分
-
3Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意
マイナビニュース / 2024年5月2日 8時31分
-
4パイオニアの車載スマートデバイス「NP1」を試して感じたイイところ、ムムムなところ 音声操作前提のドラレコ&カーナビ
ITmedia Mobile / 2024年5月2日 6時5分
-
5iPhoneの天気アプリ、文京区で「大雪」とウソつく 気象庁のサイトで“正しい情報”を確認する方法は?
ITmedia Mobile / 2024年5月2日 18時50分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください