Bleeping Computerは8月31日(米国時間)、「GitHub comments abused to push password stealing malware masked as fixes」において、GitHubのコメントを悪用して情報窃取マルウェア「Lumma Stealer」を配布するキャンペーンが発見されたと伝えた。最初に攻撃を報告した人物はTelegramボットフレームワーク「teloxide/teloxide」のコントリビューターで、悪意のある5つのコメントを受け取ったとされる。

  • GitHub comments abused to push password stealing malware masked as fixes

    GitHub comments abused to push password stealing malware masked as fixes

侵害経路

Bleeping Computerは報告を受けて追加調査を実施し、GitHub上のさまざまなプロジェクトから数千もの悪意あるコメントを発見している。これらコメントはすべて質問への修正を提案するものだったとされる。

侵害経路はいずれのコメントでもほぼ同一で、オンラインストレージサービスの「mediafire.com」からアーカイブファイルをダウンロードさせる。リンクにはmediafire.comのURLの他に、短縮URLサービス「Bitly」の使用が確認されている。

  • 悪意のあるコメントの例 - 引用:Bleeping Computer

    悪意のあるコメントの例 引用:Bleeping Computer

アーカイブファイルには複数のDLL(Dynamic Link Library:ダイナミックリンクライブラリ)と実行可能ファイルが1つ含まれている。被害者がこの実行可能ファイルを実行すると、最終的に情報窃取マルウェア「Lumma Stealer」に感染する。

影響と対策

リバースエンジニアのNicholas Sherlock氏によると、同様のコメントは3日間で29,000回以上投稿されたという。GitHubはこれらコメントを検出して速やかに削除しているが、Redditにはすでに被害に遭ったとみられる報告が投稿されている(参考:「PSA: LummaC2 Trojan Stealer spreading on GitHub issues : r/Malware」)。

マルウェアには高度な情報収集能力があり、さまざまな認証情報、クレジットカード情報が窃取される。そのため、被害に遭った可能性がある場合は安全な環境からすべてのパスワードを変更することが推奨されている。

複数のデバイスのログイン状態を管理するオンラインサービスを使用している場合は、パスワード変更後に有効なセッションをすべて閉じることも必要とされる。ウォレットの認証情報を窃取された可能性がある場合は、暗号資産を別のウォレットに移行することも推奨される。