オープンソースソフトウェア(OSS)を開発しているイアン・スペンス氏が、GitHubの通知メールを悪用するマルウェアの存在をブログで報告しました。

GitHub Notification Emails Hijacked to Send Malware - Ian's Blog

https://ianspence.com/blog/2024-09/github-email-hijack/

スペンス氏はGitHub上でOSSの開発に携わっており、頻繁にGitHubから通知メールを受け取るそうです。あるとき、スペンス氏は以下のようなメールを受け取りました。メールには「リポジトリにセキュリティ上の脆弱性(ぜいじゃくせい)が検出されました。詳しくは私たちのサイトにお問い合わせください」と書かれており、差出人は「Github Security Team」となっています。



実際のところ、メールはセキュリティチームからのメッセージではなく、単なるGitHubのIssueが新たに立てられた時の通知メールです。Issueの内容はユーザーが自由に記述できる場所であり、そのためメールの赤枠部分は攻撃者が悪意を持って書いたものというわけ。



スペンス氏がリンクをクリックしてみると下図のようにCAPTCHAを要求する画面になりました。



一般的なCAPTCHAでは特定の画像をクリックするだけのことが多いものの、このサイトではWindowsの「ファイル名を指定して実行」を開いてコマンドを張り付けるという一風変わった手順を要求されます。スペンス氏がメモ帳にコマンドを張り付けてみると、「powershellを起動して特定のサイトからコマンドをダウンロードして実行する」という内容でした。



ペーストした時に実際のコマンドの部分を隠すため、コマンドの後ろにはコメントが挿入されていました。



もちろんコマンドを実行するとマルウェアがインストールされます。マルウェアの実行ファイルの署名はSpotifyを装った無効のものでしたが、PowerShell経由でダウンロードされたファイルのためWindowsでは何の警告もなく実行できてしまうとのこと。



このマルウェアはブラウザやメールクライアント、ファイルなどから仮想通貨関連のデータを盗み出すものとのこと。動作についての詳しい分析をセキュリティ企業のCYFIRMAが行っているので、気になる人は確認してみてください。