GitHubで開発者を標的にした大規模マルウェア拡散キャンペーン
アプリケーションセキュリティ企業のSocket社は、GitHub上の開発者を狙った大規模なマルウェア拡散キャンペーンを報告した。攻撃者はGitHub Discussionsに偽のVisual Studio Code(VS Code)セキュリティ警告を投稿し、開発者を悪意あるファイルのダウンロードへと誘導している。
「深刻な脆弱性 — 即時アップデートが必要」と見せかける手口
投稿の多くは脆弱性アドバイザリを装っており、「Severe Vulnerability - Immediate Update Required(深刻な脆弱性 — 即時アップデートが必要)」のような緊迫感のあるタイトルが使われる。偽のCVE ID(脆弱性識別番号)も付与されており、一見すると正規の警告に見えてしまう。さらに、実在するコードメンテナーやセキュリティ研究者を騙るケースもあり、信憑性を高める工夫がなされている。
Socket社の調査によれば、これらの投稿は新規作成または活動実績の少ないアカウントから、数分以内に数千のリポジトリへ自動的に展開されている。GitHub Discussionsはリポジトリの参加者やウォッチャーにメール通知を送る仕組みがあるため、攻撃者はこれを悪用して多数の開発者の受信箱に直接メッセージを届けている点が特に狡猾だ。
Google Driveを経由してマルウェアを配布
偽の警告には「修正済みバージョン」へのリンクが含まれており、配布先としてGoogle Driveなどの外部サービスが使われている。VS Code拡張機能の公式配布チャンネルでないにもかかわらず、Googleという信頼性の高いブランドが利用されることで、急いでいる開発者が見落としてしまうリスクがある。
Google DriveのリンクをクリックするとCookie経由のリダイレクトチェーンが発動し、最終的にdrnatashachinn[.]comへ誘導される。このサイトではJavaScriptによる偵察スクリプトが実行され、被害者のタイムゾーン、ロケール、ユーザーエージェント、OS情報、さらには自動化ツール使用の有無などが収集される。収集データはPOSTリクエストでC2(コマンド&コントロール)サーバーへ送信される。
この仕組みはTDS(トラフィック配信システム)として機能しており、ボットやセキュリティ研究者を排除して「本物の被害者」にのみ次段階のペイロードを送り込むフィルタリング層となっている。Socket社は第2段階のペイロードの捕捉には至っていないが、初段のJSスクリプトが直接資格情報を窃取するものではないことは確認されている。
GitHub通知システムの悪用は過去にも
GitHubの通知機能を悪用した攻撃はこれが初めてではない。2025年3月には1万2,000以上のリポジトリを標的にしたフィッシングキャンペーンが確認されており、開発者を騙って悪意あるOAuthアプリを認可させ、アカウントへの不正アクセスを試みる手口が使われた。2024年6月にもスパムコメントとプルリクエストを通じてフィッシングページへ誘導する攻撃が発生している。
開発者が取るべき対策
GitHub上でセキュリティ警告を受け取った際は、以下の点を必ず確認してほしい。
- CVEの正当性を検証する: NVD(米国国家脆弱性データベース)、CISAの既知悪用脆弱性カタログ、またはMITREのCVEサイトで識別番号を照合する
- 外部ダウンロードリンクに注意: 公式マーケットプレイス以外へのリンクは危険信号
- 大量タグ付けを疑う: 無関係なユーザーが多数タグ付けされている投稿は詐欺の可能性が高い
- 投稿アカウントを確認: 新規または活動実績のないアカウントからの投稿は慎重に扱う
日本の開発者も多くがGitHubを活用しており、本キャンペーンの標的になりうる。「緊急」「即時対応が必要」といった言葉に焦らされず、冷静に情報ソースを確認する習慣が重要だ。
元記事: Fake VS Code alerts on GitHub spread malware to developers