多数のGitHubリポジトリでマルウェアを仕込んだ「セキュリティ検証用コード」が発見される、なんと10個に1個は悪意のあるリポジトリ

世界最大級のコードホスティングプラットフォームであるGitHubでは、さまざまな脆弱(ぜいじゃく)性を検証するためのコードである「概念実証(PoC)エクスプロイト」が投稿され、セキュリティ研究者によって共有されています。しかし、このPoCエクスプロイトを精査したところ多数のコードにマルウェアが仕込まれており、セキュリティ研究者などへの攻撃に使用されていたことが分かりました。

[2210.08374] How security professionals are being attacked: A study of malicious CVE proof of concept exploits in GitHub
https://doi.org/10.48550/arXiv.2210.08374

Thousands of GitHub repositories deliver fake PoC exploits with malware
https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/

オランダにあるLeiden Institute of Advanced Computer Scienceの研究チームは、プレプリントサーバーのarXivで公開した論文の中で、GitHubで配布されているPoCエクスプロイトの実に10.3％にマルウェアが含まれていたことを報告しました。

この研究では、3つの手法を使用して2017～2021年の間に公開されたPoCエクスプロイト4万7313件の調査を行いました。その3つの手法とは、PoCエクスプロイトを投稿したパブリッシャーIPを公開ブロックリストなどと照合する「IPアドレス解析」、実行ファイルやそのハッシュをVirusTotalでチェックする「バイナリ解析」、難読化されたファイルをデコードして調べる「16進数およびBase64解析」です。

調査の結果、対象となった4万7313件のPoCエクスプロイトのうち4893件が悪意のあるリポジトリだということが判明しました。具体的には、分析された35万8277件のIPアドレスのうち15万734件が一意のIPアドレス、つまり1回しか使われていないアドレスで、そのうち2864件がブラックリストに登録されているものだったとのこと。また、1522件はVirusTotalで悪意があるものとして分類されていたほか、1069件が問題のあるIPアドレスを投稿するデータベースのAbuseIPDBに登録されたものだったとのことです。

以下は、チェックに使用したブロックリストの一覧とそのマッチ件数です。

バイナリ解析では6160個の実行ファイルが解析にかけられ、その結果1398件のリポジトリでホストされている2164個の悪意あるサンプルが特定されました。それらのほとんどは2020年に見つかった脆弱性に関するものでした。また、「BlueKeep」として知られている脆弱性を悪用したCobalt Strikeのファイルも、今回の研究で見つかっています。

こうした点から研究チームは、GitHubを利用している人に対して「自分や自分の顧客のネットワークで実行しようとしているコードをよく読むこと」「コードが難読化されていて解析に時間がかかる場合は、サンドボックス環境などに入れて疑わしいトラフィックがないかネットワークをチェックする」「VirusTotalのようなツールを活用してバイナリを解析する」といった対策をして、内容の安全性が検証されていないリポジトリをむやみに信用しないよう呼びかけました。