VulnCheckは6月14日(米国時間)、「Fake Security Researcher GitHub Repositories Deliver Malicious Implant - Blog - VulnCheck」において、偽のセキュリティ研究者がGitHubリポジトリを介して悪意のあるスクリプトコードを配信していると伝えた。脅威者が架空のセキュリティ企業の研究者を偽り、コードホスティングサービスを悪用してマルウェアを配布していることが明らかとなった。

Fake Security Researcher GitHub Repositories Deliver Malicious Implant - Blog - VulnCheck

High Sierra Cyber Securityという実在しないセキュリティ企業の一員であるかのように装い、正規のセキュリティ研究者の顔写真を悪用してTwitterアカウントを作成して悪意のあるリポジトリを正規のもののように見せかける脅威が発見されている。

この脅威に悪用されたTwitterアカウントおよびGitHubリポジトリは次のとおり。

https://twitter.com/AKuzmanHSCS

https://twitter.com/DLandonHSCS

https://twitter.com/GSandersonHSCS

https://twitter.com/MHadzicHSCS

https://github.com/AKuzmanHSCS/Microsoft-Exchange-RCE

https://github.com/MHadzicHSCS/Chrome-0-day

https://github.com/GSandersonHSCS/discord-0-day-fix

https://github.com/BAdithyaHSCS/Exchange-0-Day

https://github.com/RShahHSCS/Discord-0-Day-Exploit

https://github.com/DLandonHSCS/Discord-RCE

https://github.com/SSankkarHSCS/Chromium-0-Day

これらの不正なリポジトリにはGoogle Chrome、Microsoft Exchange、Discordなどに存在するとされるゼロデイ脆弱性に関する概念実証(PoC: Proof of Concept)が公開され、不正なTwitterアカウントで拡散されていたという。概念実証コードはPythonスクリプトとなっており、マルウェアをダウンロードして被害者のシステムで実行するよう設計されていることが確認されている。

今回発見された脅威はセキュリティ専門家を標的としたものとみられている。正規のコードホスティングサービスであっても、公開されているコードをダウンロードして実行する際は、内容をよく理解しておくよう注意が促されている。