概要

StepSecurityは、GlassWormマルウェアキャンペーンがGitHubトークンを盗用して数百のPythonリポジトリにマルウェアを注入する攻撃を展開していると報告しました。

攻撃の詳細

攻撃者は、開発者アカウントにアクセスした後、ターゲットのリポジトリのデフォルトブランチに悪意のあるコードを再ベース化し、強制プッシュします。これにより、setup.py、main.py、app.pyなどのPythonファイルに隠されたコードが追加されます。

攻撃の手順

• 開発者システムをGlassWormマルウェアで侵害し、VS CodeやCursorなどの悪意のある拡張機能を通じてGitHubトークンを盗用。
• 盗用した資格情報を使用して、ターゲットのGitHubアカウントが管理するすべてのリポジトリに悪意のある変更を強制プッシュ。
• Base64エンコードされたペイロードは、ロケールがロシアの場合には実行をスキップします。
• 追加のペイロードをダウンロードし、暗号化されたJavaScriptを含むデータと暗号通貨を盗む。

攻撃の影響

攻撃者は、ターゲットのリポジトリのデフォルトブランチにマルウェアを注入することで、Git履歴を書き換え、オリジナルのコミットメッセージや著者情報を保持します。これにより、GitHubのUIにはプルリクエストやコミットのトレースが残りません。

対策

開発者は、GitHubトークンを適切に管理し、VS Codeや他の開発ツールの拡張機能を信頼できるソースからインストールすることを強く推奨します。

まとめ

この攻撃は、ソフトウェアサプライチェーンのセキュリティを脅かす新たな脅威を示しています。開発者は、GitHubアカウントのセキュリティを強化し、マルウェアの注入を防ぐための対策を講じることが重要です。

元記事: https://thehackernews.com/2026/03/glassworm-attack-uses-stolen-github.html