ハッカーは偽のGitHubプロジェクトを使ってビットコインを盗む：カスペルスキーが警告

• 2月24日に発表されたカスペルスキーの報告書では、少なくとも2年前から活発化している「GitVenom」の活動について、ユーザーに警告している。
• この攻撃は、ビットコインのウォレットを管理するテレグラムボットや、コンピューターゲーム用のツールなど、一見合法的なGitHubプロジェクトから始まる。
• 11月には、このような攻撃により、ある開発者のビットコインウォレットから40万ドル相当のトークンが流出した。

カスペルスキー（Kaspersky）の報告書によると、流行のアプリケーションを構築したり、既存のバグを修正したりするために使用するGitHubのコードが、ビットコイン（BTC）やその他の暗号資産（仮想通貨）を盗むために悪用される可能性があるという。

GitHubはあらゆる開発者にとって人気のツールだが、暗号資産プロジェクトでは特に人気が高く、シンプルなアプリケーションでも数百万ドルの収益を生み出す可能性がある。

この報告書では、少なくとも2年前から活発化している「GitVenom」の活動について警告しているが、この人気の高いコードリポジトリプラットフォーム上の偽プロジェクトに悪意のあるコードを仕掛けるというこの手口は着実に増加している。

この攻撃は、ビットコインのウォレットを管理するテレグラムボットや、コンピューターゲーム用のツールなど、一見合法的なGitHubプロジェクトから始まる。

それぞれに洗練されたREADMEファイルが付属しており、信頼させるためにAIで生成されている場合が多い。しかし、コード自体はトロイの木馬だ。Pythonベースのプロジェクトの場合、攻撃者は2000のタブからなる奇妙な文字列の後ろに悪意のあるスクリプトを隠し、悪意のあるペイロードを復号化して実行する。

JavaScriptの場合は、不正な関数がメインファイルに埋め込まれ、攻撃が開始される。マルウェアが起動すると、ハッカーが管理するGitHubのリポジトリから追加のツールが取得される。

タブはコードを整理し、行を揃えることで読みやすくするものだ。ペイロードは、プログラムの中心部分であり、実際の作業を行う（マルウェアの場合は危害を加える）。

システムが感染すると、さまざまなプログラムが起動してエクスプロイトが実行される。Node.jsの窃盗ツールは、パスワード、暗号資産ウォレットの詳細、閲覧履歴を収集し、それらをまとめてテレグラム経由で送信する。リモートアクセス型のトロイの木馬である「AsyncRAT」や「Quasar」は、被害者のデバイスを乗っ取り、キー入力を記録し、スクリーンショットを撮影する。

また、「clipper」は、コピーされたウォレットアドレスをハッカー自身のアドレスに置き換え、資金を奪う。あるウォレットには、11月だけで5BTC（当時で48万5000ドル相当）が送信された。

GitVenomは少なくとも2年間は活動しており、カスペルスキーによると、その影響は世界中に及んでいるが、特にロシア、ブラジル、トルコのユーザーに大きな被害を与えている。

攻撃者は、活発な開発を装い、アンチウイルスソフトウェアを回避するためにコーディング戦術を変化させることで、活動を隠蔽している。

ユーザーはどうすれば自分自身を守ることができるだろうか。コードを実行する前にコードを精査し、プロジェクトの信頼性を確認し、あまりにも洗練されたREADMEファイルや一貫性のないコミット履歴には疑いの目を向けることだ。

研究者たちは、こうした攻撃がすぐに止むことはないと予測している。「我々は、こうした試みが今後も継続し、おそらくは小さな変更を加えながら行われるだろうと予想している」とカスペルスキーは投稿で結論づけている。

｜翻訳：CoinDesk JAPAN
｜編集：井上俊彦
｜画像：Shutterstock
｜原文：Hackers Are Using Fake GitHub Code to Steal Your Bitcoin: Kaspersky