GitHubリポジトリ100件以上がBoryptGrabスティーラーを配信

yab

2026.03.09

GitHubリポジトリ100件以上がBoryptGrabスティーラーを配信

SecurityWeek – March 7, 2026

トレンドマイクロの報告によると、2025年後半から「BoryptGrab」と呼ばれる情報窃取型マルウェアがフリーソフトツールを装ったGitHubリポジトリを通じて配信されている。このマルウェアはシステム情報やユーザーファイルに加えて、ブラウザや暗号資産ウォレットのデータを収集し、特定のバージョンでは「TunnesshClient」と呼ばれるバックドアもドロップする可能性があるとのこと。

BoryptGrabはC/C++ベースの情報窃盗型マルウェアで、昇格された権限での実行を試みる。複数のブラウザを狙うことができ、データ窃取においてはChrome App Bound Encryptionを使用してGitHubリポジトリ2件から得られるコードを使用。Chromiumヘルパーをダウンロードし、ブラウザ情報を収集する。さらに、デスクトップの暗号資産ウォレットアプリやブラウザ拡張機能、さらにはシステムから情報収集を行い、スクリーンショットを撮ったり、特定の拡張子を持つファイルを収集することもできるとみられる。またこうしたデータ窃取に加え、仮想マシン回避や分析回避チェックも行うそう。

感染チェーンは、フリーソフトツールを装ったGitHubリポジトリからZIPファイルをダウンロードするとスタート。発見された複数のバイナリには類似のロシア語コメントやURL取得ロジックが含まれていたものの、マルウェアの実行ロジックはZIPファイルごとに異なっていたという。例えば、アーカイブ内の実行ファイルがDLLサイドローディングを実行するケースが観測されているほか、VBSスクリプトを使用してランチャーの実行ファイルを取得するケースが確認され、.NET実行ファイル、Go言語ダウンローダー「HeaconLoad」なども見つかっている。

加えて、TunnesshClientバックドアをダウンロード・実行する亜種も報告されている。このバックドアは、リバースSSHトンネルを介して攻撃者から提供されたコマンドを実行し、SOCKS5プロキシとしてシェルコマンドの実行、ファイルのリスト表示・検索・アップロード・ダウンロード、そして攻撃者のサーバーへのフォルダ送信などを行う。

トレンドマイクロによると、このスティーラーはTelegramファイル、ブラウザのパスワード、新しいバージョンではDiscordトークンも取得でき、収集された情報はすべてアーカイブされ、攻撃者のC2サーバーに送信されるとのこと。BoryptGrabは脅威エコシステムが進化を続けていることの証左だと同社は指摘した。