Ars Technicaはこのほど、「GitHub besieged by millions of malicious repositories in ongoing attack|Ars Technica」において、脅威アクターがGitHubの既存のリポジトリをフォークするプロセスを自動化し、数百万もの悪意あるリポジトリを作成したと報じた。これらフォークされたリポジトリは元のリポジトリーのクローンであるため、一般ユーザーによる区別は難しいとされる。

GitHubの対処

セキュリティ企業「Apiiro」の研究者によると、このようにして作成された悪意あるリポジトリはGitHubによりすぐ削除されるという(参考:「Over 100,000 Infected Repos Found on GitHub」)。しかしながら、手動でアップロードされたリポジトリや一部のリポジトリは見逃され、すべての削除には至っていないと指摘されている。また、一部の開発者は悪意のあるリポジトリと気付かずにフォークしているとみられ、状況をさらに悪化させているとしている。

なお、悪意のあるフォークされたリポジトリはアップロードと削除の応酬となっているため、研究者らはそれぞれのリポジトリ数を正確にカウントするのは難しいと指摘している。それでも削除されたリポジトリ数は数百万に達するとのこと。

研究者の調査により判明した今回の攻撃手順は次のとおり。

  • 既存のリポジトリのクローンを作成する
  • マルウェアを注入する
  • 同じ名前でGitHubにアップロードし直す
  • 自動的に数千回フォークする
  • フォーラムやdiscordなどを使用して宣伝する

サイバー攻撃の影響と対策

この攻撃により作成されたリポジトリには悪意のあるPythonコードや実行可能ファイルが含まれるという。悪意のあるPythonコードは主に情報窃取マルウェア「BlackCap-Grabber」の亜種とされ、さまざまな認証情報、ブラウザのパスワードとCookie、機密データの窃取、およびコマンド&コントロール(C2: Command and Control)サーバに接続しての追加の攻撃が可能とされる。

この攻撃は2023年11月ごろから観測され、これまでに悪意のあるペイロードを含むリポジトリが10万件以上(削除数からの推測値で数百万件)検出されており、現在も増加中とみられる。研究者はこのような増加の原因として、GitHubアカウントとリポジトリーの自動生成の容易さ、簡単に回避できるレート制限を挙げている。

Ars Technicaはこの攻撃の影響を受けているかを確認するため、GitHubからダウンロードしたPythonコードがすべて正規のリポジトリーから取得したものか調査することを推奨している。また、Apiiroは影響を受けているか調査する手順を公開しており、Pythonの開発者には内容を確認して実施することが望まれている。