Git リポジトリを悪用したマルウェア攻撃手法が発見
原題: Be careful with your Git: Investigating malware spreading through Git repositories
なぜ重要か
開発者を標的とした新たな攻撃手法で、Gitの正当な機能を悪用してマルウェアを拡散する脅威として注意が必要
セキュリティ研究者が、偽のLinkedInリクルーターによるマルウェア攻撃を調査し、Google DriveのGitリポジトリとGitフックを悪用した新手の攻撃手法を発見した。攻撃者は悪意あるJavaScriptでファイルを窃取していた。
セキュリティ研究者のAndrii Romasiunが、偽のLinkedInリクルーターから受信したメッセージから始まる巧妙な攻撃手法を詳細に分析した。攻撃者は採用担当者を装い、面接プロセスの一環としてデモコードベースの確認を要求し、Google Drive上のコードリポジトリへのリンクを送付した。
リポジトリ内のファイルは空で、READMEファイルには「masterブランチは単なるプロジェクト構造であり、devブランチをチェックアウトして全体のコードベースを確認してください」と記載されていた。研究者がdevブランチに切り替えると、一見正当なプロジェクトのコードが表示されたが、この時点で既に攻撃が実行されていた。
攻撃の核心は、Gitの「フック」機能を悪用した点にある。通常、Gitフックはリポジトリをクローンする際に転送されないが、この場合はGoogle Driveのダウンロードに.gitディレクトリ全体が含まれており、悪意あるフックファイルも一緒に転送された。post-checkoutフックには、git checkoutやgit commitコマンドの実行時に起動するスクリプトが仕込まれていた。
スクリプトはOSを判定し(uname -s)、macOS、Linux、Windowsそれぞれに対応したペイロードをnnlabs.proドメインからダウンロードして実行する仕組みになっていた。このドメインはHostingerでホストされており、記事執筆時点でまだ稼働していたため、研究者はテイクダウン要請を提出した。