サイバー犯罪者は現在、GitHub 自体を武器化しています。彼らは、注目を集めるセキュリティ上の欠陥に対して動作する概念実証コードを約束する偽のリポジトリを作成しています。代わりに、WebRAT と呼ばれる厄介なバックドアが配布されます。
これは WebRAT の最初のロデオではありません。この悪意のあるプログラムは今年の初めに初めて表面化し、海賊版ツールのほか、Counter Strike、Roblox、さらには Rust のゲームチートを通じて拡散しました。しかし、オペレーターはゲームをレベルアップしただけです。彼らは現在、巧妙に偽装した配信方法で、より技術的な視聴者をターゲットにしています。
エクスプロイトハンターを悪用する
少なくとも 9 月以降、攻撃者は洗練された GitHub リポジトリを作成しています。これらのリポジトリは、見出しを飾ったいくつかの脆弱性に対する有効なエクスプロイトを提供すると主張しています。 Kaspersky のセキュリティ研究者は、この方法で WebRAT を推進している 15 のリポジトリを発見しました。
一連の偽のエクスプロイトにより、いくつかの重大なセキュリティ脆弱性が浮き彫りになりました。 1 つ目は CVE-2025-59295 で、Windows オペレーティング システム上の MSHTML および Internet Explorer 内のヒープベースのバッファ オーバーフローであると主張しています。 「エクスプロイト」の明らかな最終結果は、攻撃者が特別に作成したネットワーク パケットを送信することにより、ターゲット ホスト上でリモートから任意のコードを実行する可能性があることです。
2 つ目は CVE-2025-10294 で、パスワードベースのログインを行わない WordPress に影響を与える重要な認証バイパスとして宣伝されていました。認証をまったく利用せずに、管理者を含む任意のユーザーとしてログインできる権限を攻撃者に与えることができると主張します。
最後に、3 番目の偽広告は CVE-2025-59230 でした。これは、Microsoft のリモート アクセス接続マネージャー (RACM) の次のレベルの特権の脆弱性です。 RACM の明らかな弱点により、ローカルの攻撃者が SYSTEM レベルのアクセス権限を強化できる可能性があります。
各リポジトリは正当であるように見えました。彼らは、脆弱性に関する詳細な情報を提供し、エクスプロイトの内容を説明し、利用可能な緩和策もリストしました。カスペルスキーの研究者は、このテキストはすべて人工知能モデルを使用して生成されたと考えています。構造とプレゼンテーションは、経験豊富な開発者を騙すのに十分なほどプロフェッショナルでした。
太陽によると4RAYSレポート5 月から、WebRAT は広範な情報窃取機能を備えたバックドアになりました。 Steam、Discord、Telegram アカウントから認証情報を探します。さらに!攻撃者にとって非常に貴重な仮想資産を保持するウォレットのデータが標的となります。
ただし、悪意のあるプログラムは、保存されている情報を乗っ取るだけではありません。ウェブカメラを介して被害者をのぞき見し、被害者の行動のスクリーンショットを撮ることさえあります。
偽のエクスプロイトは、パスワードで保護された ZIP ファイルとして到着します。内部では、被害者はファイル名にパスワードが含まれる空のファイル、破損したおとり DLL、実行チェーンのバッチ ファイル、および rasmanesc.exe と呼ばれるメイン ドロッパーを見つけます。
ドロッパーは実行されるとすぐに動作します。システム上の権限を昇格させ、Windows Defender を無効にして検出を回避します。セキュリティを積極的に無効にしようとするマルウェアから防御するには、強力で回復力のあるセキュリティ ソリューションが必要です。次に、ハードコードされた URL から完全な WebRAT ペイロードをダウンロードして実行します。
WebRAT には、システムの再起動を確実に克服するための多数の永続化戦略があります。 Windows レジストリ エントリを変更し、タスク スケジューラを利用し、ランダムなシステム ディレクトリに自身を展開します。これらにより、感染した被害者にとって除去は困難になります。
カスペルスキーこのキャンペーンの WebRAT に注目してくださいバリアントは、以前に文書化されたサンプルと一致します。 「運用能力は過去の報告書と一致している」と研究者らは説明した。このマルウェアは、同じ認証情報の窃取、Web カメラのスパイ、スクリーンショット キャプチャの機能を維持しています。
GitHub 上で偽のエクスプロイトを使用してマルウェアを拡散することは、まったく新しいことではありません。セキュリティ研究者は、この戦術を過去に広範囲に文書化してきました。最近、脅威アクターは、GitHub 上で偽の「LDAPNightmare」エクスプロイトを宣伝し、同様の方法で情報窃取マルウェアを拡散させました。
このインシデントは、ハッカーが複数の組織に侵入した別のキャンペーンで見られるように、GitHub のエコシステムを攻撃者が武器化する広範なパターンの一部です。正規の OAuth アプリケーションを侵害するプラットフォーム上で。
Kaspersky は GitHub 上の悪意のあるリポジトリを特定し、そのリストを作成しました。ただし、悪意のある攻撃者は、異なる発行者名で新しいリポジトリを作成して送信することで、ユーザーを誘導してマルウェアをダウンロードさせようと試み続けることが予想されます。実質的に参入障壁がないため、悪意のある攻撃者は、疑いを持たないユーザーにとっては正当であるように見える新しいリポジトリを簡単に送信できます。
ベストプラクティスとして、信頼できない可能性のあるソースからのコードやエクスプロイトをテストする場合、開発者とセキュリティ専門家が制御された環境でそれらを実行し、エクスプロイトコードが実行されている環境を制御できることを確認することをカスペルスキーは推奨しています。