概要
ソフトウェア開発者に人気のあるオープンソースツールILSpyの公式WordPressサイトがハッカーによって不正アクセスを受け、信頼できる開発者向けリソースが危険な罠へと変貌した。
攻撃の詳細
サイバーセキュリティ研究グループvx-undergroundは、セキュリティ研究者の「RootSuccess」から受け取ったビデオ証拠を基に、この不正アクセスが確認された。
リダイレクト攻撃
通常、ILSpyのウェブサイトでダウンロードリンクをクリックすると、ユーザーはプロジェクトの公式GitHubリポジトリに直接送られ、クリーンな正当なソフトウェアが提供されます。しかし、不正アクセス中にはハッカーがウェブサイトの動作を変更し、ツールをダウンロードしようとする訪問者は、悪意のある第三者ドメインへとリダイレクトされました。
ソーシャルエンジニアリング
- 偽のブラウザ拡張機能:ユーザーは新しいブラウザ拡張機能をインストールするよう求められました。これは典型的なソーシャルエンジニアリング手法です。
- 偽のブラウザ拡張機能は非常に危険で、パスワードを盗む、ログインクッキーをキャプチャし、ウェブ閲覧習慣を監視する、またはバックグラウンドでさらなるマルウェアをダウンロードすることが可能です。
開発者への影響
この攻撃は特にソフトウェア開発者を標的としています。開発者は通常、企業ネットワークやプライベートソースコード、会社インフラストラクチャにアクセス権を持っています。ハッカーが偽の拡張機能を通じて開発者のマシンを乗っ取ると、大規模なデータ漏洩やサプライチェーン攻撃につながる可能性があります。
現在の状況
ILSpyの公式WordPressドメインは完全にオフラインになっています。ウェブサイトへのアクセスを試みると、「502 Bad Gateway」エラーが表示されます。これはサーバーが正常に通信していないことを示しており、管理者が故意にサイトを停止してマルウェアの拡散を止めた可能性が高いです。
対策
セキュリティチームは、最近ILSpyのウェブサイトを訪問した開発者に対し、システムをチェックするよう助言しています。ダウンロードを試みた場合にインストールされた予期しないブラウザ拡張機能があればすぐに削除し、パスワードを変更し、完全なセキュリティスキャンを行うことを推奨します。
今後の対応
公式サイトが安全であることが確認されるまで、ユーザーはGitHubリポジトリから直接ILSpyをダウンロードすることをお勧めします。ウェブサイトが突然ブラウザ拡張機能のインストールを要求する場合、標準ファイルのダウンロードに注意深く対応してください。
元記事: https://gbhackers.com/hackers-breach-ilspy-wordpress-domain/