GitHubでフィッシング急増、偽のVSコード警告に注意
TL;DR
GitHub Discussionsを悪用した自動拡散
今回の攻撃キャンペーンは、その圧倒的な規模が特徴です。Socketのリサーチチームによると、短期間のうちに数千件もの酷似したメッセージが、多種多様なリポジトリに投稿されていることが確認されました。攻撃者はGitHub Discussions機能を悪用し、Visual Studio Code(VS Code)に関する偽のセキュリティアラートを拡散させています。GitHub Discussionsは、参加者やフォロワーに対してメール通知を送信する仕組みがあるため、プラットフォーム外のデベロッパーにも情報が届き、攻撃の信頼性と到達範囲を高めています。この手法により、攻撃者は信頼されたプラットフォームを介して、極めて巧妙な「餌」を開発者の受信トレイに直接送り込み、従来のスパムフィルターを回避しています。
画像提供:Cybersecurity News
捏造されたセキュリティアドバイザリとソーシャルエンジニアリング
偽の投稿は公式のセキュリティアドバイザリを装っており、「Visual Studio Code – 重大な脆弱性 – 直ちにアップデートが必要」や「致命的なエクスプロイト – 緊急の対応が必要」といった、危機感を煽るタイトルが付けられています。これらのメッセージには、信頼性を高めるために架空のCVE識別子やVS Codeの特定のバージョンが引用されることが多々あります。また、著名なプロジェクトのメンテナーやセキュリティリサーチャーになりすますケースも確認されています。ユーザーは、Google ドライブなどのファイル共有サービスにホストされた外部ダウンロードリンクから「パッチ適用済みバージョン」をインストールするよう促されます。これは通常のVS Code拡張機能の配布方法とは異なりますが、信頼されているサードパーティサービスを介しているため、多忙なデベロッパーがその脅威を即座に見抜くのは困難です。
.webp)
多段階のリダイレクトとブラウザプロファイリング
攻撃インフラの分析により、高度なトラフィック配信システム(TDS)の存在が明らかになりました。ユーザーがリンクをクリックすると、まずGoogleの共有エンドポイントを経由します。その後、経路は2つに分かれます。有効なGoogleクッキーを持つユーザーは攻撃者が制御するコマンド&コントロール(C2)ドメインにリダイレクトされますが、クッキーを持たないユーザーにはフィンガープリント(端末識別)用のページが表示されます。このインフラは難読化されたJavaScriptを使用して、以下のようなデータを収集します。
- タイムゾーンとロケール設定
- ブラウザ情報およびユーザーエージェント
- OS(オペレーティングシステム)のプラットフォーム
- 自動解析ツールの兆候(
navigator.webdriverなど)
このメカニズムは、実際の標的と、ボットやセキュリティリサーチャーを判別するためのフィルタリング層として機能しています。
技術的な回避策と偵察スニペット
このキャンペーンでは、軽量で高度に難読化されたJavaScript偵察スクリプトが使用されています。即座にマルウェアをドロップするのではなく、まずは環境をプロファイリングして、その後のエクスプロイトを確実に成功させるための準備を行います。回避策としては、CSSのhue-rotateフィルターや隠しiframeを使用して、解析環境による偽装を検知する手法などが含まれます。難読化を解除したプロファイリングコードの一部を見ると、スクリプトがいかにしてシステムの状態を捕捉しているかが分かります。
let d = -new Date().getTimezoneOffset(); // UTCオフセット
let su = navigator.userAgent; // ユーザーエージェント
// ... (全てのフィンガープリントデータが背後でPOST送信される)
収集されたデータはエンコードされ、不可視のフォームPOSTリクエストを介してC2サーバーへ自動送信されます。ソーシャルエンジニアリングとプラットフォームの悪用を組み合わせたこの進化する脅威に対し、デベロッパーは高いデジタルセキュリティ意識を持つことが不可欠です。
対策とデベロッパーの安全確保
こうした攻撃キャンペーンから身を守るために、開発プラットフォーム上の心当たりのないセキュリティアラートには細心の注意を払う必要があります。ソフトウェアやIDEの正規のパッチが、サードパーティのファイル共有リンクを通じて配布されることは決してありません。セキュリティの専門家は以下の対策を推奨しています。
- すべてのセキュリティ情報は、Microsoftの公式チャネルを通じて真偽を確認すること。
- 新規作成されたアカウントや活動履歴の少ないアカウントからの通知を精査すること。
- 不審なDiscussionsを発見した場合は、直ちにGitHubサポートに報告すること。
- 開発環境を保護するために、強力なオンラインプライバシーツールや多要素認証(MFA)を活用すること。
オンラインプライバシーとサイバーセキュリティの分野で8年以上の経験を持つ専門VPNアナリスト。VPN技術、デジタルセキュリティ、プライバシー保護を専門としています。複雑なオンラインセキュリティの世界をユーザーが安全に渡り歩けるよう支援し、世界中の誰もがVPN設定を簡単に行えるようにすることに情熱を注いでいます。
開発環境の安全性を維持し、データのプライバシーを守るために、squirrelvpn.comで最新の保護技術を確認してください。
