GitHubから悪意あるVisual Studioプロジェクト配布、注意を

画像提供：マイナビニュース

Checkmarxは4月10日(米国時間)、「New Technique Detected in an Open Source Supply Chain Attack」において、GitHubリポジトリから悪意のあるVisual Studioプロジェクトが配布されたとして、注意を呼び掛けた。このプロジェクトをビルドすると悪意のあるコードが実行され、マルウェア「Keyzetsu Clipper」の亜種がインストールされるという。

○悪意のあるVisual Studioプロジェクトの詳細

Checkmarxによると、発見された悪意のあるVisual Studioプロジェクトは、多くの被害者を生み出すためにGitHubの検索システムを悪用するという。GitHubには「Sort by: Recently updated(最近更新されたもの)」という検索フィルターが存在する。この検索結果の上位に表示され続けるために、GitHub Actionsを利用して自動的に小さな変更を頻繁に繰り返す。

また、リポジトリの信頼性を向上させるために架空のユーザーを作成し、控えめな数の偽スターを追加するという。リポジトリのStargazersを確認すると、ほぼ同一期間に作成されたアカウントからスターが付けられており不自然なことがわかる。

悪意のあるコードはリポジトリの「.csproj」または「.vcxproj」ファイルに埋め込まれており、ビルドプロセスの初期段階(PreBuildEvent)にて実行される。VBScriptで記述されたこのコードは難読化されたPowerShellスクリプトを展開して実行する。PowerShellスクリプトは次の処理を実行する。

環境のIPアドレスから国コードを区別し、ロシアで実行されているか判断する
国コードに基づいて特定のURLから暗号化されたペイロードをダウンロードする
ペイロードを復号して実行する

○マルウェア「Keyzetsu Clipper」の亜種

最終的に実行されるマルウェアはセキュリティソリューションの検出を回避するために、サイズを750MBにパディングしているという。そのため、VirusTotalに登録・調査することはできない。

マルウェアを分析したところ、「Keyzetsu Clipper」と類似点があるとされ、その亜種とみられている。このマルウェアはクリップボードを監視して暗号資産ウォレットのアドレスを攻撃者のアドレスに差し替える機能を持ち、暗号資産を窃取するとされる。
○対策