GitHubでトロイの木馬を配布するリポジトリ約1万件が見つかる、正規プロジェクトを複製して検索結果に紛れ込む

ソフトウェア開発者向けプラットフォームのGitHubで「正規のプロジェクトを複製してトロイの木馬を配布するリポジトリが約1万件見つかった」と開発者のOrchid氏が報告しました。リポジトリごとに名前や所有者が異なり、GitHub上では複製を示す「フォーク」として扱われていないため、一見しただけでは不正なコピーと気付きにくくなっています。

I discovered a large-scale malware distribution on GitHub
https://orchidfiles.com/github-repositories-distributing-malware/

Orchid氏が問題に気付いたきっかけは、自分のプロジェクト名を検索エンジンで調べたことでした。Googleでは正規のリポジトリが表示された一方、Bingでは同じ名前と説明文を持つ別のユーザーのリポジトリが検索結果に登場。複製版には元のコミット履歴や貢献者の情報まで引き継がれていましたが、READMEと呼ばれる案内文にはZIPファイルをダウンロードするためのリンクが追加されていたとのこと。

GitHubではソースコードや更新履歴を確認できるため、利用者がリポジトリを正規の配布元だと判断する材料になります。実在するプロジェクトの名前や説明文に加えて、長期間にわたる更新履歴や複数の貢献者が表示されていれば、正規の配布元だと思ってファイルを実行する可能性も高まるというわけです。

問題のZIPファイルには「Application.cmd」などの起動用ファイル、実行ファイル、Luaの実行に使われるライブラリなどが含まれていました。ZIPファイルへのリンクだけをマルウェア検査サービスのVirusTotalで調べた場合は脅威が検出されなかったものの、ZIPファイル本体を検査するとトロイの木馬が見つかったとOrchid氏は説明しています。

Orchid氏は同様のリポジトリを探すため、GitHub上で発生した操作の記録を公開しているGH Archiveを利用しました。GitHubには膨大な数のリポジトリが存在するため、全件を1つずつ調べる方法ではAPIの利用制限に突き当たります。そこで直近5日間に記録された約1600万件のコミットのプッシュイベントから、一定の頻度で変更されたリポジトリだけを絞り込みました。

不正なリポジトリには、READMEにZIPファイルへのリンクがある、正規リポジトリの更新履歴を複製している、最新コミットのメッセージが「Update README.md」になっているといった共通点がありました。検索条件を調整した結果、約4万件の候補のうち約1万件が一連の特徴に一致したとのこと。

同様の攻撃は以前から確認されています。セキュリティ企業のHexastrikeは2026年4月、103件のアカウントで運用されていた109件の偽リポジトリを発見したと報告しました。分析対象のZIPファイルは別のプログラムを読み込むマルウェアを実行し、続いて情報窃取型マルウェアのStealCなどを送り込める仕組みになっており、正規プロジェクトの中身を残したまま案内文とダウンロード先を差し替えていたとのことです。

Orchid氏は、攻撃者が比較的新しいプロジェクトを複製する理由について、検索件数の少ないプロジェクト名なら偽リポジトリを検索結果の上位に表示させやすいためではないかと推測しています。また、更新履歴や貢献者情報まで複製する手法には、利用者からの信用を得る目的やGitHubの検出を避ける目的がある可能性も指摘しています。ただし、攻撃者の狙いに関する説明はOrchid氏の推測であり、攻撃者の実際の狙いは分かっていません。

記事作成時点では、GitHubはスクリプトで見つかったリポジトリの削除を始めており、大部分がすでに削除されたとOrchid氏は追記しています。一方で今回使われた検索条件はGitHub全体の一部だけを調べるものであり、実際の攻撃規模は今回の調査結果より大きい可能性があるとOrchid氏は述べています。