Checkmarxは11月28日(米国時間)、「Attacker Uses a Popular TikTok Challenge to Lure Users Into Installing Malicious Package|Checkmarx.com」において、TikTokの「Invisible Challenge」と呼ばれるトレンドを悪用してキャンペーンが展開されていると伝えた。TikTokのキャンペーンで、ユーザーのパスワードやDiscordアカウント、暗号資産ウォレット、その他の個人データを窃取するマルウェアが展開されていることが明らかとなった。

  • Attacker Uses a Popular TikTok Challenge to Lure Users Into Installing Malicious Package|Checkmarx.com

    Attacker Uses a Popular TikTok Challenge to Lure Users Into Installing Malicious Package|Checkmarx.com

TikTokで時折、危険なトレンドチャレンジが流行するといわれており、Invisible Challengeと呼ばれるトレンドが攻撃者に悪用されていることがわかった。Invisible Challengeは裸で動画を撮影し、Invisible Bodyと呼ばれるエフェクトで映像から身体を取り除いて輪郭をぼかして投稿するというもの。このチャレンジは 人気があり、本稿執筆時点で、#invisiblefilterタグのビューが 2,700 万回を超えている。

攻撃者は、俳優が服を脱いだ状態で撮影したというTikTokの動画とともに、フィルタを除去できる、つまり裸体を見ることができることをうたう「unfilter」という偽のソフトウェアへのリンクを投稿していたという。投稿されたこのTikTok動画は、わずか2~3日で100万回以上の再生回数に達したことが確認されている。

投稿にはDiscordサーバ「Space Unfilter」に参加するよう招待リンクも貼り付けられている。これまで3万人以上のメンバーがSpace Unfilterに参加しており、さらにメンバーになるとマルウェアをホストするGitHubリポジトリのリンクが送信されることが判明している。このGitHubリポジトリは、TikTokでトレンドになっている透明効果を除去できるオープンソースのツールと説明されているが、リポジトリ内に悪意のあるPythonパッケージをインストールする.batスクリプトが含まれており、個人情報を窃取するマルウェアとされているWASPスティーラーのコードが仕込まれていることが発見されている。

攻撃者が巧妙になるにつれ、ソフトウェアサプライチェーンの攻撃者が用いる操作のレベルが上がっており、=Checkmarxはサイバー攻撃者がオープンソースのパッケージのエコシステムに注意を向け始めたことを改めて示すものと警告している。