新たな脅威グループ「Water Curse」、有害GitHubリポジトリ経由で情報セキュリティ専門家らを標的に

佐々山 Tacos

2025.06.17

新たな脅威グループ「Water Curse」、有害GitHubリポジトリ経由で情報セキュリティ専門家らを標的に

Dark Reading – June 17, 2025

GitHubリポジトリを悪用してソフトウェアサプライチェーンを脅かすキャンペーンを行っている脅威グループ「Water Curse」を、トレンドマイクロの研究者らが観測。このグループは正規のペネトレーションテストツールやセキュリティツールに見せかけたマルウェアを、有害なビルドスクリプトやプロジェクトファイルを通じて配布しているという。

トレンドマイクロによれば、Water Curseは初めて観測されたのが2025年5月と最近だったものの、同グループに関連する活動は2023年3月から行われていることを伺わせる証拠もあるという。金銭的動機のもとさまざまな地域のレッドチームやペネトレーションテスター、開発者、ゲーマーを主な標的としており、認証情報の窃取やセッションハイジャック、不正なアクセスの転売などが目標であると思われる。Water Curseが武器化されたリポジトリの配布用プラットフォームとして利用するGitHubアカウントは少なくとも76件存在したことを踏まえ、研究者らは「複数のコミュニティに行き渡る広範かつ持続的なキャンペーン」が展開されていたことが窺われると述べた。

典型的な攻撃はまず、GitHub上でホストされた、マルウェアを埋め込み済みのオープンソースプロジェクトファイルから始まる。「Email-Bomber-SMTP」や「Sakura-Rat」といった正規のペネトレーションテストツールなどを装うこれらのファイルには、<PreBuildEvent>タグ内に有害なバッチファイルコードの一部が含まれており、これによりデプロイされるVBScriptが、PowerShellベースの次段階のスクリプトをドロップし実行。次にこのスクリプトが追加のペイロードの復号またはロードを行う。

こうして生成されるPowerShellスクリプトは難読化されていたものの、トレンドマイクロの分析により「SearchFilter.exe」という名称のファイルが含まれることが明らかに。これがTempディレクトリから実行されると、システムの偵察や権限昇格、検出回避、アンチデバッグなどを伴うポストエクスプロイトの挙動が実施されるという。このマルウェアは認証情報へのアクセス、システム情報の列挙、抽出に向けたデータのステージングを行うが、具体的な性能には以下があるとされる：パスワードやオートフィルデータ、ブラウザ履歴、Cookie、ブックマーク、ダウンロードなど機微なユーザーデータをChromeやEdge、Firefoxといったブラウザのプロフィールから収集する性能、GitHubおよびChatGPTからセッションアーティファクトを抜き取る性能、7-Zipを使ってデータをパッケージングする性能、RDP構成ファイルを準備する性能など。

多様なツールと言語を駆使する点から、「レッドチームツールとアクティブなマルウェア配布の境界を曖昧にする開発者志向のインフォスティーラー」を通じてソフトウェアサプライチェーンを狙うWater Curseの高い適応性が示されていると、トレンドマイクロは指摘。これは、現代のサイバー脅威において欺瞞、信頼の悪用、高度な技術的隠蔽がどのように交差するかを浮き彫りにしていると説明した。その上で同社は、サードパーティのコードをすべて必ず検証することや、可能な限り組織内のコードリポジトリを利用することなどを推奨している。

【無料配布中！】ディープ＆ダークウェブ関連レポート

弊社が作成したレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』を無料配布中です！

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから：