GitHubのコメントの中

ほぼこもセキュリティニュース By Terilogy Worx

GitHubはソフトウェア開発のプラットフォームです。
GitHubには8000万件以上ものプロジェクトがホスティングされていて、多くの場面で活用されています。
このGitHubの機能を悪用する手法が確認されています。

  • 悪用される機能
    公開されているリポジトリのコメント機能が悪用されます。
    リポジトリの閲覧者は、このコメント機能を使って、シンプルに利用した感想を連絡することができますし、質問や提案などを書き込むこともできます。
    公開されたリポジトリが公開されている意味合いを考えると、コメント機能の役割は大きいです。

     

  • コメント機能の管理機能
    コメント機能には管理機能があります。
    特定のコメントを非表示にしたり、編集、削除も可能です。

     

  • コメント機能のコメント投稿機能
    リポジトリの閲覧者はコメントを投稿することができます。
    コメントの内容には文字を含めることができますので、リポジトリのなかの人に伝えたいことを記述することができます。
    コメントに記載できるのは文字だけではありません。
    コメント作成機能に、ファイル添付機能があります。
    このファイル添付機能によって、たとえば改善案のコードサンプルをアップロードし、そのポイントをコメントの文字で伝えるような使い方が可能となります。

     

  • コメント機能で投稿された添付ファイルの管理機能
    コメント機能で投稿された添付ファイルの管理機能は、現時点ではGitHubには用意されていません。
    添付ファイルがアップロードされることとなったコメントを非表示にしたとしても、その添付ファイルは有効なままです。
    添付ファイルがアップロードされることとなったコメントを削除したとしても、その添付ファイルは引き続きダウンロード可能な状態のままです。
    コメントを投稿しようとして、そのコメント投稿機能でファイルをアップロードし、その後、そのコメントの投稿を実施しなかったとしても、コメント作成中にアップロードしたファイルは有効な状態となってしまいます。
    しかも、この添付ファイルのURLは、いかにもそのURLが元のリポジトリの一部であるかのように見えるURLとなっています。

この事実は、攻撃者の知るところとなってしまっています。
vcpkgというライブラリ管理ツールのリポジトリのコメント機能を通じて、LUAで記述されたマルウェアローダーが展開されていました。
このマルウェアローダーは、最終的にRedlineを持ち込みます。
他にもいくつかのリポジトリのコメント機能が同じ手法で悪用されていることが確認されています。

開発の場所として利用されている環境は、GitHubだけではありません。
今回明らかになったポイントは、他の環境でも発生してしまう可能性があることを考えなければなりません。

参考記事(外部リンク):GitHub comments abused to push malware via Microsoft repo
URLs

www.bleepingcomputer.com/news/security/github-comments-abused-to-push-malware-via-microsoft-repo-urls/