はじめに
脅威アクターが、GitHubのフォークアーキテクチャの設計上の欠陥を悪用し、正規のGitHub Desktopインストーラーを装ったマルウェアを配布していることが明らかになりました。この攻撃は、開発者コミュニティにおけるサプライチェーンセキュリティの脆弱性を浮き彫りにしています。
攻撃手法の概要
攻撃は、一見すると単純ながらも効果的な手法で開始されます。攻撃者は使い捨てのGitHubアカウントを作成し、公式のGitHub Desktopリポジトリをフォークします。その後、READMEファイル内のダウンロードリンクを悪意のあるインストーラーを指すように変更し、その変更をコミットします。驚くべきは、このコミットハッシュがgithub.com/desktop/desktop/tree/<commit_hash>のように、攻撃者が公式リポジトリへの書き込み権限を持たないにもかかわらず、公式リポジトリの名前空間の下に表示される点です。
この手法は「リポジトリ・スクワッティング」と呼ばれ、研究企業GMO Cybersecurityが2025年9月から追跡しています。攻撃者が自身のフォークやアカウントを削除しても、コミットハッシュはリポジトリネットワーク内に残り、クリーンアップを極めて困難にしています。
さらに、脅威アクターは検索エンジン上で「GitHub Desktop」のスポンサー広告を活用し、キャンペーンのリーチを拡大しました。これらの広告は、GitHubのセキュリティ警告を回避するためにREADMEアンカーを使用して悪意のあるコミットに直接リンクしており、正規のツールを探している開発者をターゲットにしていました。
マルウェアの詳細と回避技術
悪意のあるインストーラー「GitHubDesktopSetup-x64.exe」(SHA256: e252bb114f5c…)は、127.68 MBのシングルファイル.NETアプリケーションであり、高度な多段階ローダーとして機能します。類似のサンプルは2025年5月以降、Chrome、Notion、1Password、Bitwardenなどの人気アプリケーションを装って確認されています。
このローダーは、複数の回避技術を採用しています。特筆すべきは、GPUベースのAPIであるOpenCLを悪用し、GPUドライバーのないサンドボックスや仮想マシンでの動的分析を妨害する点です。マルウェアは、復号キーの静的リカバリを複雑にする意図的なコードの誤方向付けを実装しており、セキュリティ研究者に対し、分析を完了するために物理マシン上でGPUを使用することを強要します。
GMO Cybersecurityの調査では、OpenCLの実装に意図的なバグが含まれており、引数が参照渡しではなく値渡しされるため、カーネル実行が失敗することが判明しました。これにより、全ゼロの復号キーが生成され、動的および静的分析の両方を妨害する革新的な防御メカニズムとして機能します。
ペイロードの展開と永続化
一度実行されると、マルウェアは正規の署名付きバイナリ(Control-Binary32.exe、Qt5Network.dll、Qt5Core.dll)と悪意のあるペイロードを含む暗号化されたアーカイブをダウンロードします。感染はDLLサイドローディングとモジュールスタンピング技術を悪用し、vssapi.dllにシェルコードを注入して、以前からLummaC2スティールウェアなどのコモディティマルウェアを展開している既知のローダーであるHijackLoaderを実行します。
永続化は、ユーザーがログオンするたびに実行される「WinSvcUpd」という名前のスケジュールされたタスクを通じて確立されます。PowerShellステージャーは、AppData、LocalAppData、およびProgramDataディレクトリにMicrosoft Defenderの除外を追加し、その後のペイロードが検出されずに実行されることを可能にします。
影響範囲と対策
このキャンペーンは2025年9月から10月にかけて最も活発でしたが、GitHubは2025年9月9日にはこの脆弱性を認識していたことを確認しました。しかし、2025年12月29日の時点でもこの手法は再現可能でした。主に欧州のユーザーを対象としたマルバタイジングを通じていましたが、日本やその他の地域でも感染が発生しています。
GMO Cybersecurityは、インストーラーを公式のリリースぺージからのみダウンロードし、スポンサー付き検索広告には極度の注意を払うことを推奨しています。このキャンペーンは、開発者をターゲットとした攻撃が信頼できるプラットフォームを悪用して高度なマルウェアを配布する方法を浮き彫りにしており、現代の脅威環境におけるサプライチェーンセキュリティの重要性を強調しています。
サプライチェーンセキュリティの重要性
今回の事件は、ソフトウェアサプライチェーンにおける信頼の重要性を改めて示しています。公式のチャネルやリソースからのソフトウェアであっても、その背後にあるメカニズムや、それがどのように悪用されうるかを理解することは、開発者や組織にとって不可欠です。継続的な監視と厳格なセキュリティ慣行を通じて、デジタルエコシステム全体の健全性を保つことが求められます。