はじめに
2025年9月、Kandjiのセキュリティ研究者たちは、攻撃者が公式のbrew.shページを完璧に模倣した複数の偽Homebrewインストーラーサイトを展開する巧妙なキャンペーンを発見しました。これらの偽造ドメインは、標準のHomebrewインストールスクリプトを装って、隠された悪意あるペイロードを配信していました。本記事では、この憂慮すべきトレンドの戦術、インフラ、および影響について詳しく掘り下げます。
攻撃の背景
過去数年間、パッケージマネージャーはサプライチェーン攻撃の格好の標的となっており、NPMのタイポスクワッティングやPyPIの悪意あるパッケージに関する高プロファイルの事件が頻繁に報道されてきました。macOSで最も広く使用されているパッケージマネージャーであるHomebrewは、これまで無傷で安定した状態を保っていましたが、今回の事件でその状況は変わりました。攻撃者は、エンドユーザーを直接標的とし、Homebrewのウェブサイト自体をクローンするという異なるアプローチに移行しました。
攻撃の手口
Kandjiのアナリストはわずか1週間で、homebrewoneline[.]orgのような4つの悪意あるドメインがIPアドレス38[.]146[.]27[.]144に解決されていることを発見しました。各ドメインは、Homebrewのホームページの完璧なコピーを提示していました。しかし、本物のサイトとは異なり、これらのレプリカはインストールコマンドブロック内のテキスト選択とコピーをすべて制限し、被害者を単一の「Copy」ボタンの使用に誘導していました。このボタンは、密かに攻撃者が注入したコマンドをクリップボードにロードするものでした。
偽装サイトの中心には、インストール手順をロックダウンし、ユーザーのクリップボードの内容を置き換えるJavaScriptスニペットが埋め込まれていました。訪問者が「Copy」ボタンをクリックすると、スクリプトはcopyInstallCommand()関数をトリガーし、正当なHomebrewインストール行を実行する前に、隠されたコマンドをクリップボードに書き込みます。同時に、notify.phpへのフェッチリクエストが送信され、クリック時間やユーザー環境などのメタデータが記録されます。コード内のロシア語のコメントは、base64エンコードされたペイロードのプレースホルダーや、Telegramのようなデータ流出エンドポイントを示唆しており、これは攻撃者が異なるペイロードを自由に入れ替えることができる商品スタイルの操作であることを示唆しています。このインフラは、Odyssey Stealerも並行して提供しており、資格情報の窃盗と永続的なマルウェアの埋め込みを効果的に組み合わせていました。
視覚的な違いと真の危険性
本物のHomebrewインストールページと偽装されたページのスクリーンショットを比較すると、唯一の視覚的な違いは手動コピー機能の欠如です。しかし、真の危険性は、被害者の知らぬ間にターミナルに引き込まれる、クリップボード内の目に見えない追加行にあります。
対策
このキャンペーンは、macOSの開発者と管理者にとって重要な教訓を浮き彫りにしています。サプライチェーンセキュリティは、パッケージだけでなく、それらを管理するツール自体にも及ぶということです。開発者はHomebrewを一度インストールすると、それが信頼できるものだと考えがちですが、実際には攻撃者はクローンサイトにユーザーを誘い込むことで、利便性を武器にすることができます。このような攻撃ベクトルから身を守るためには、ユーザーは常に信頼できる情報源とインストールコマンドを照合し、未検証のウェブページからシェルスニペットを貼り付けることを避けるべきです。ドメイン(brew.sh)を確認し、コマンドを実行する前にクリップボードの内容を注意深く検査してください。
企業防御には、インストール中にトリガーされる予期せぬフェッチ呼び出しやbase64エンコードされたペイロードを検出するエンドポイント監視を含めるべきです。Kandji脅威インテリジェンスは、Mikhail Kasimovによって維持されている公開リポジトリで、さらに多くの偽装ドメインをカタログ化し、インターネットを継続的に調査しています。これらのIOCをセキュリティツールに統合し、安全なインストール方法についてエンドユーザーを教育することで、組織はこの新たな脅威への露出を減らすことができます。パッケージマネージャーベースのマルウェアが進化するにつれて、パッケージソースとインストーラーサイトの両方を検証する警戒心が、最も効果的な防御策となります。