GitHubで1万個のトロイの木馬配布リポジトリを発見
原題: I found 10k GitHub repositories distributing Trojan malware
なぜ重要か
GitHubなどのコード共有プラットフォームを悪用した大規模なマルウェア配布キャンペーンの実態が明らかになった。セキュリティ研究とプラットフォーム防御の強化を促進する重要な事例。
セキュリティ研究者が、GitHubで1万個のトロイの木馬マルウェアを配布するリポジトリを発見した。異なる投稿者による非フォークリポジトリで、数時間ごとにコミットを削除して悪意あるzipアーカイブへのリンクをREADMEに追加するという共通パターンを持つ。2週間のGitHub対応遅延を経て、検出スクリプトの開発により大規模な配布キャンペーンが明らかになった。
研究者は自身のGitHubプロジェクトを検索する過程で、同じ名前と説明を持つ複製リポジトリを複数発見した。これらのリポジトリは元のリポジトリのすべてのコミット履歴を含みながら、数時間ごとに前のコミットを削除し、READMEファイルにzipアーカイブへのリンクを追加するという異常な動作パターンを示していた。
最初の報告から2週間後、GitHubサポートはこれらのリポジトリを削除したが、研究者はより広範な配布キャンペーンの存在を疑った。そこで、共通パターンを特定するための検出スクリプトを開発することを決定した。
検出パターンの特徴は以下の通り:数時間ごとに前のコミットを削除、READMEファイルのみを更新、zipアーカイブへのリンクを含有、別のリポジトリからコミットをコピー、新規リポジトリで非フォーク、異なる投稿者と異なるリポジトリ名。
zipアーカイブには、Launcher.cmd、loader.exe、lua51.dllなどのファイルが含まれていた。VirusTotalでzipファイル単体をスキャンするとトロイの木馬が検出されるが、アーカイブのみでは0検出となる。GitHubは1時間あたり5,000リクエストという制限があるため、5億のリポジトリすべてを分析するには極めて長時間を要するが、研究者はこのパターンマッチングアプローチで大規模キャンペーンの検出に成功した。