Microsoftによると、
攻撃者は、違法なストリーミングWebサイトから悪意のあるGithubリポジトリにリダイレクトされたグローバルなマルウェアキャンペーンで、ほぼ100万のデバイスが侵害されています。
2024年12月に開始されたキャンペーンは、訪問者を違法なストリーミングプラットフォームに欺ceptiveにさらすことによって運営されています。危険なファイルをホストするGitHubリポジトリに着陸する前のページ。 Githubの信頼できるステータスを活用することにより、攻撃者は、被害者がマルウェアをダウンロードして実行する可能性を増やしました。
Microsoftによると、最初のペイロードは、システム偵察、データ収集、およびリモートアクセストロイジャン(ラット)などの盗難などの盗難など、リモートアクセスなどの追加のマルウェアタイプの展開を含むマルチステージ攻撃チェーンをトリガーしました。ログイン資格情報、Cookie、および保存されたパスワードを含む情報。
キャンペーンは、個々の消費者デバイスから組織ネットワークに至るまでのシステムが妥協した世界中で100万近くのデバイスに影響を与えています。マルウェアの主な目的はデータの盗難であり、ユーザーのプライバシーと組織のセキュリティに深刻なリスクをもたらしました。
Microsoftは緩和策を開始しましたが、攻撃の膨大な範囲は、Githubのようなオープンプラットフォームを確保する際の課題を示しています。過去1年間のGitHubを標的とする一連のセキュリティインシデントの集大成です。
2024年3月、攻撃者は合法的なプロジェクトをクローニングし、マルウェアを注入し、欺ceptiveの名前の下でフォークとして再現することにより、100,000を超えるリポジトリを侵害しました。この戦略により、開発者は合法的なリポジトリと悪意のあるリポジトリを区別し、意図しないマルウェア統合のリスクを高めました。
2024年4月までに、サイバー犯罪者はGithubのコメント機能に注意を向け、コメント内にマルウェアを変化させるリンクを埋め込みました。これらのリンクは、正当なリポジトリコンテンツに似ており、検出と削除をさらに複雑にするように設計されています。マイクロソフトは悪意のあるコメントを削除するために行動を起こしましたが、このような洗練された戦術を完全に根絶することの難しさに注目しました。
、スターゲイザーのゴブリン脅威グループは、3,000を超えるGithubアカウントをハイジャックすることで攻撃をエスカレートしました。グループは、欺line、lummaスティーラー、rhadamanthysなどのマルウェアを配布するために欺ceptiveアカウントを使用して、サービスとしての分布(DAAS)モデルを採用しました。 2024年、3日以内にマルウェアを含むリンクを含む29,000件以上のコメントを投稿したとき。これらのリンクは、メディアファイアなどの外部プラットフォームでホストされているアーカイブにつながり、アーカイブには機密データを抽出するように設計された情報スティーラーが含まれています。これらの詐欺的な星は、悪意のあるプロジェクトの信頼性を高め、ユーザーと開発者が妥協したコンテンツを信頼してダウンロードすることを誤解させました。 MicrosoftのAIセキュリティ戦略で概説されているアプローチは、マシン学習に依存して、疑わしいパターンが検出されたときにアップロードを自動的に評価し、人間のレビュー担当者に警告することに依存しています。バイパス検出。開発者は、リポジトリの定期的な監査を実施し、不正な変更を監視し、外部の貢献の信頼性を検証することをお勧めします。
自動化されたセキュリティツールを実装し、厳しいレビュープロトコルを採用すると、妥協のリスクを最小限に抑えることができます。攻撃者が星やフォークなどの信頼信号を操作する方法を考えると、表面レベルのメトリックを超えたリポジトリアクティビティを評価することが不可欠になりました。
特にオープンソースプロジェクトに関与するユーザーにとって、ダウンロードの正当性を確認することが重要です。特に違法なストリーミングサイトなどのプラットフォームからリンクによってプロンプトされた場合、未検証または疑わしいソースからのダウンロードを回避することは、基本的なセキュリティステップです。
サンドボックス環境を利用して未知のコードをテストし、セキュリティソリューションの定期的な更新がマルウェア感染に対する脆弱性を低下させる可能性があります。また、Microsoftは、特に機密情報が公開されている場合、侵害されたユーザーがパスワードをリセットし、不正なアクセスのためにアカウントを監視することを推奨しています。コラボレーションを促進するために信頼信号に依存するGithubのようなプラットフォームは、搾取に対して本質的に脆弱です。
リポジトリスターやコメントなどの機能の操作は、2024年12月の偽のスターキャンペーンのようなインシデントで高く評価されています。フォークスとスターゲイザーのゴブリンキャンペーンは、脅威アクターがどのように戦術を適応させたかを示しました。これらのイベントは、攻撃者がマルウェアを促進するためにオープンソース機能を活用し、一見合法的な貢献の背後に悪意のある意図を隠していることを明らかにしました。大量作成の偽のアカウント、リポジトリメトリックの操作、GitHubのオープンポリシーの悪用などのテクニックは、単純なモデレートコンテンツが不十分であることを示しています。エコシステム
Microsoftは、プラットフォームセキュリティの強化には多面的なアプローチが必要であることを認めています。 AI駆動型の検出システムを洗練するだけでなく、同社は悪意のあるコンテンツの識別と削除の透明性を向上させることに焦点を当てています。
緩和システムの効率を高め、潜在的に危険な活動にフラグを立てるプロセスを強化することは、これらの取り組みの中心です。開発者コミュニティ間で信頼信号をどのように活用できるかについて意識を高めることも同様に重要です。
Microsoftは、外部貢献の徹底的な検証やリポジトリの人気メトリックの批判的分析など、リポジトリセキュリティのベストプラクティスを採用することを開発者に奨励しています。同社はまた、インシデントの報告と検出方法を強化するために、セキュリティ研究者やコミュニティメンバーとのより深い協力を提唱しています。