はじめに
Morphisec Threat Labsの報告によると、AIを悪用した高度なサプライチェーン攻撃がGitHubリポジトリを介して、研究者、開発者、セキュリティ専門家を標的にしていることが明らかになりました。
この攻撃は、休眠状態のGitHubアカウントと精巧にAIによって作成されたリポジトリを利用し、これまで文書化されていなかったバックドア「PyStoreRAT」を配布しています。
攻撃の手法
攻撃者は、巧妙に組織化された戦略を採用しています。まず、休眠状態のGitHubアカウントを再アクティブ化し、AIによって生成されたツールやユーティリティのように見せかけた、一見正当なリポジリトリを公開しました。
これらのリポジトリが開発者コミュニティ内で注目を集めると、攻撃者は静かにPyStoreRATバックドアをコードベースに注入しました。これは、開発者が確立されたリポジトリに寄せる信頼を悪用するものです。
この手法は、サプライチェーン攻撃の進化を示しており、敵対者がオープンソースエコシステムを武器化し、当初は無害に見える説得力のある偽プロジェクトを作成しています。新しいツールを頻繁にダウンロードしてテストする研究者や開発者という特定の層を標的にすることで、このキャンペーンはテクノロジーセクター内での潜在的な影響を最大化しています。
バックドア「PyStoreRAT」の機能
PyStoreRATは、従来のマルウェアローダーとは異なる、高度な機能を備えています。
- 包括的なシステムプロファイリング: 感染したマシンに関する情報を収集し、環境に合わせて複数のセカンダリペイロードを展開します。
- EDR回避: CrowdStrike Falconのようなエンドポイント検出および対応(EDR)ソリューションを特定するための検出ロジックが含まれています。セキュリティツールが検出されると、マルウェアは分析を回避し、永続性を維持するために実行パスを変更します。
- C2インフラのローテーション: 指揮統制(C2)インフラをローテーションさせることで、防御側が通信をブロックし、脅威アクターを追跡することを著しく困難にしています。
Morphisecの研究者は、マルウェアコードと関連インフラ内にロシア語の痕跡を発見しました。このキャンペーンは、GitHubクラスターマッピング技術を利用して特定の開発者コミュニティを特定し、標的にしており、十分にリソースが確保された連携された作戦であることを示唆しています。
組織へのアドバイス
Morphisecは、セキュリティチームがこの脅威を検出および防御するために、侵害の兆候(IOC)を公開しています。組織は以下の点に注意するよう強く推奨されています。
- コードを統合する前にGitHubリポジトリを徹底的に精査すること。
- 不審なリポジトリ活動に対する監視を強化すること。
- AIによって生成されたと思われるプロジェクトの信頼性を検証すること。
元記事: https://gbhackers.com/researchers-targeted-in-ai-driven-github-supply-chain-attack/