![[画像] 偽セキュリティ研究者、GitHubとTwitter悪用してPoC偽装したマルウェア拡散](https://image.news.livedoor.com/newsimage/stf/b/5/b5a1e_1223_46e1275f014c0ebb5a7ad7ccb5a92009-m.jpg)
VulnCheckは6月14日(米国時間)、「Fake Security Researcher GitHub Repositories Deliver Malicious Implant - Blog - VulnCheck」において、偽のセキュリティ研究者がGitHubリポジトリを介して悪意のあるスクリプトコードを配信していると伝えた。脅威者が架空のセキュリティ企業の研究者を偽り、コードホスティングサービスを悪用してマルウェアを配布していることが明らかとなった。
High Sierra Cyber Securityという実在しないセキュリティ企業の一員であるかのように装い、正規のセキュリティ研究者の顔写真を悪用してTwitterアカウントを作成して悪意のあるリポジトリを正規のもののように見せかける脅威が発見されている。
この脅威に悪用されたTwitterアカウントおよびGitHubリポジトリは次のとおり。
https://twitter.com/AKuzmanHSCS
https://twitter.com/DLandonHSCS
https://twitter.com/GSandersonHSCS
https://twitter.com/MHadzicHSCS
https://github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
https://github.com/MHadzicHSCS/Chrome-0-day
https://github.com/GSandersonHSCS/discord-0-day-fix
https://github.com/BAdithyaHSCS/Exchange-0-Day
https://github.com/RShahHSCS/Discord-0-Day-Exploit
https://github.com/DLandonHSCS/Discord-RCE
https://github.com/SSankkarHSCS/Chromium-0-Day
これらの不正なリポジトリにはGoogle Chrome、Microsoft Exchange、Discordなどに存在するとされるゼロデイ脆弱性に関する概念実証(PoC: Proof of Concept)が公開され、不正なTwitterアカウントで拡散されていたという。概念実証コードはPythonスクリプトとなっており、マルウェアをダウンロードして被害者のシステムで実行するよう設計されていることが確認されている。
今回発見された脅威はセキュリティ専門家を標的としたものとみられている。正規のコードホスティングサービスであっても、公開されているコードをダウンロードして実行する際は、内容をよく理解しておくよう注意が促されている。