GitHubのコメント機能悪用により、マイクロソフトリポジトリに紐づくURLでマルウェアがプッシュされる
(情報源:BleepingComputer)
GitHubのある「欠陥」あるいは「設計上の決定」がマルウェア配布のために悪用されていることについて、BleepingComputerが報告。この「欠陥」により、マルウェアインストーラーのURLを、マイクロソフトのものをはじめとする正規のリポジトリに関連するURLであるように見せかけることが可能になっているのだという。
正規GitHubリポジトリのコメントを悪用
BleepingComputerの調査のきっかけになったのは、McAfeeが17日に公開した、LUAベースの新たなマルウェアローダーに関するブログ記事。この記事では、「vcpkg」というマイクロソフトの正規GitHubリポジトリに属するように見えるURL(https[:]//github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip)を介して、このローダーが配布されていることなどが報告されている。しかしプロジェクトのソースコードにはこのファイルへのレファレンスが認められず、このリポジトリによって2月からマルウェアが配布されているというのはおかしいと考えたBleepingComputerは調査を実施。すると、ファイルはvcpkgの中に含まれているのではなく、コメントの一部としてアップロードされていたことを発見したのだという。
下書きを作成するだけでダウンロードリンクを生成可能
GitHubでは、コメントを残す際にファイルを添付することが可能だが、ここにマルウェア配布に悪用され得る「欠陥」が潜んでいるという。ユーザーがコメントに何らかのファイルを添付すると、ファイルはGitHubのCDNにアップロードされて、コメント先のプロジェクトに紐づくような一意のURLが以下の形式で作成される:
https://www.github.com/{プロジェクトのユーザー}/{リポジトリ名}/files/{ファイルのID}/{ファイル名}
留意すべきは、このURL生成が投稿ボタンを押さずとも自動的に行われる点。つまり、投稿の下書きにファイルを添付するだけで、実際にそのコメントを投稿せずとも、ダウンロードリンクが生成される。さらに、投稿後にコメントを削除した場合でもファイルはCDNから削除されず、ダウンロードURLは永遠に有効なままだという。こうした「欠陥」により、脅威アクターはオーナーに気づかれることなく任意のリポジトリのコメントを介してマルウェアをGitHubのCDNにアップできるようになっている。URLだけ見れば正規のリンクに見えることから、この手法により非常に説得力の高いルアーを作成することが可能となる。
GitHubとマイクロソフトのコメントは現時点で得られず
この「欠陥」が悪用されるのを防ぐための唯一の手段は、コメントを無効化すること。しかし一度に最大6か月間しか無効化できない上、コメントを制限することでユーザーからのバグや提案などの報告を得られず、プロジェクトの開発に支障が出る可能性もある。なおBleeping Computerはこの件について18日にGitHubとマイクロソフトへ問い合わせたものの、返答は得られなかったとのこと。