注目hackernews2分
GitHub上で1万件のトロイの木馬配布リポジトリを発見、独自スクリプトで特定
30秒で把握
- 1GitHub上で1万件のトロイの木馬配布リポジトリを独自スクリプトで特定
- 2zipはURL送信では検出ゼロ・ファイル本体送信でトロイの木馬を検出
- 3GitHub支援の対応に約1.5か月かかり、報告・削除フローの遅延が露呈
要約
あるセキュリティ研究者が、GitHubで約1万件のトロイの木馬マルウェアを配布するリポジトリを発見した。これらのリポジトリは異なるコントリビューター名・リポジトリ名を持ち、フォークでもないが、数時間ごとにコミットを削除・再プッシュしREADMEにzipアーカイブへのリンクを追加するという共通パターンを持つ。zipファイルはVirusTotalへのURL送信では検出されないが、ファイル自体を提出するとトロイの木馬が検出される。研究者はgharchiveを活用して過去5日間の1,600万件のプッシュイベントを分析し、パターンに合致するリポジトリを絞り込むスクリプトを開発した。GitHubサポートへの報告は約1か月半後にようやく対応されており、発見から削除までの対応遅延が課題として残っている。
あなたへの影響
GitHubリポジトリのREADMEに追加されたzipリンクは通常の更新と見分けがつきにくく、開発者が誤ってダウンロードする危険がある。
推奨:OSS導入時はコミット履歴の不審なパターン(短時間での削除・再プッシュ)と外部zipリンクの有無を必ず確認し、ファイルはURLではなくファイル本体をVirusTotalに送付して検証することを徹底すべき。