概要:巧妙化するHomebrew偽サイトの脅威
セキュリティ研究者が、macOSユーザーを標的とした巧妙なサイバー攻撃を発見しました。攻撃者は、人気のパッケージマネージャーであるHomebrewの公式サイトを完璧に模倣した偽のウェブサイトを複数立ち上げ、正規のインストールスクリプトに見せかけて悪意あるペイロードを密かに配信しています。
供給連鎖攻撃の新たな手口
近年、NPMのタイポスクワッティングやPyPIの悪意あるパッケージなど、パッケージマネージャーを悪用した供給連鎖攻撃が多発しています。しかし、macOSで最も広く利用されているHomebrewは、これまでこのようなインシデントから免れてきました。今回の攻撃は、脅威アクターがエンドユーザーを直接狙う新たなアプローチに移行したことを示しています。
攻撃の詳細と手口
2025年9月、Kandjiのセキュリティ研究者は、homebrewoneline[.]orgなどの4つの悪意あるドメインを発見しました。これらのドメインは、公式のbrew.shページと寸分違わぬコピーサイトを提供していました。しかし、偽サイトには決定的な違いがありました。
- インストールコマンドブロック内のテキスト選択とコピーが制限されている。
- ユーザーが「Copy」ボタンをクリックすると、正規のHomebrewインストールコマンドに加えて、攻撃者が注入した隠れたコマンドがクリップボードにロードされる。
攻撃の技術的側面
偽サイトの核心には、インストール手順をロックし、ユーザーのクリップボードの内容を置き換えるJavaScriptスニペットが埋め込まれています。`copyInstallCommand()`関数がトリガーされると、隠れたコマンドがクリップボードに書き込まれ、同時に正規のHomebrewインストールラインが実行されます。また、`notify.php`へのフェッチリクエストが送信され、クリック時間やユーザー環境などのメタデータが記録されます。
コード内のロシア語のコメントからは、Base64エンコードされたペイロードのプレースホルダーや、Telegramのようなデータ流出エンドポイントの存在が示唆されており、攻撃のモジュール性がうかがえます。このインフラは、Odyssey Stealerも並行して提供しており、認証情報の窃取とマルウェアの永続的な埋め込みを組み合わせています。
視覚的な欺瞞と隠された危険
本物のHomebrewインストールページと偽サイトの唯一の視覚的な違いは、手動コピー機能の有無です。しかし、真の危険は、ユーザーが気づかないうちにクリップボードに引き込まれる「見えない追加行」にあります。
対策と推奨事項
このキャンペーンは、macOSの開発者や管理者にとって重要な教訓となります。供給連鎖セキュリティは、パッケージだけでなく、それらを管理するツールにまで及ぶことを認識すべきです。このような攻撃ベクトルから身を守るためには、以下の対策が不可欠です。
- 常に信頼できる情報源と照合してインストールコマンドを確認する。
- 未検証のウェブページからシェルスクリプトを貼り付けることを避ける。
- ドメイン(brew.sh)を必ず確認する。
- コマンドを実行する前に、クリップボードの内容を注意深く検査する。
- 企業レベルでは、インストール中に予期せぬフェッチ呼び出しやBase64エンコードされたペイロードを検出するエンドポイント監視を導入する。
Kandji Threat Intelligenceは、Mikhail Kasimovが管理する公開リポジトリで、数十もの新しい偽ドメインをカタログ化し続けています。これらのIOCをセキュリティツールに統合し、安全なインストール方法についてエンドユーザーを教育することで、組織はこの新たな脅威への露出を減らすことができます。