Published: 2025-09-16 08:00

GitHub Desktop を模したマルウェアダウンロードの誘導に GMOイエラエが注意呼びかけ

 GMOサイバーセキュリティ byイエラエ株式会社は9月8日、GitHub Desktop を模したマルウェアダウンロードの誘導関する注意喚起同社セキュリティブログで発表した。

 同社SOCでは9月上旬から、GitHub Desktop をダウンロードするユーザをターゲットとして、正規リポジトリのREADME.mdに書いてあるダウンロードリンクを装っ悪意のあるURLに誘導するテクニックを使った、開発エンジニアを狙ったと推測される攻撃観測している。

 同社観測した攻撃手法では、攻撃者がインストーラのダウンロードリンクを悪意のある配布元に書き換えたページを作成してユーザを誘導したと考えられ、書き換えたページも、リンクとしては「 」から始まるものとなるために、公式情報であると思い込んまま悪意のあるインストーラをダウンロードしてしまう危険性があるとのこと。具体的手法としては、GitHubの特定commit IDを指定することで、指定したバージョンのファイルを開くことができる機能悪用している。

 同社では対策として、GitHub上のドキュメントにアクセスするは、Branch を公式運用している default が付与されているものや、正式にリリースされたものとして Tag が付与されているものであるか確認するよう呼びかけている。

# 言葉 意味
4 どうしゃ (同社) : the same firm
3 ゆうどう (誘導) : guidance; leading; induction; introduction; incitement; inducement
3 あくい (悪意) : 1. ill will; spite; evil intention; malice 2. bad meaning
2 こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation
2 かんそく (観測) : observation; survey; measurement
2 しゅほう (手法) : technique; method
2 かきかえる (書き換える) : to rewrite; to overwrite; to renew; to transfer
2 こうしき (公式) : 1. official; formal 2. formula (e.g. mathematical)
2 してい (指定) : designation; specification; assignment; appointment; pointing at
2 ふよ (付与) : grant; allowance; endowment; bestowal; assignment; conferment
1 かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK
1 もする (模する) : 1. to imitate; to copy; to mock; to replace; to model after 2. to trace; to forge
1 かんする (関する) : to concern; to be related
1 ちゅういかんき (注意喚起) : call for attention; alert; heads-up; reminder
1 はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling
1 じょうじゅん (上旬) : first 10 days of month
1 せいき (正規) : regular; normal; formal; legal; established; legitimate
1 かく (書く) : 1. to write; to compose; to pen 2. to draw; to paint
1 よそおう (装う) : 1. to dress (oneself in); to attire oneself in; to adorn; to decorate 2. to pretend; to feign; to affect; to disguise oneself as
1 つかう (使う) : 1. to use (a thing, method, etc.); to make use of; to put to use 2. to use (a person, animal, puppet, etc.); to employ; to handle; to manage; to manipulate
1 かいはつ (開発) : development; exploitation
1 ねらう (狙う) : 1. to aim at 2. to be after (something); to have an eye on
1 すいそく (推測) : guess; conjecture
1 こうげきしゃ (攻撃者) : aggressor; assailant; invader
1 はいふ (配布) : distribution
1 さくせい (作成) : drawing up (e.g. legal document, contract, will, etc.); preparing; writing; framing; making; producing; creating; creation
1 かんがえる (考える) : 1. to think (about, of); to think over; to ponder; to contemplate; to reflect (on); to meditate (on) 2. to consider; to bear in mind; to allow for; to take into consideration
1 じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc.
1 おもいこむ (思い込む) : 1. to be convinced (that); to be under the impression (that); to feel sure (that); to assume (that) 2. to make up one's mind; to set one's heart on; to be determined (to do); to be bent on
1 うば (乳母) : wet nurse; nursing mother
1 きけんせい (危険性) : riskiness; (level of) danger
1 ぐたいてき (具体的) : concrete; definite; specific; material; substantial
1 とくてい (特定) : 1. specific; particular; designated; special 2. specifying; designating; identifying; pinpointing
1 きのう (機能) : function; facility; faculty; feature
1 あくよう (悪用) : abuse; misuse; perversion
1 たいさく (対策) : measure; step; countermeasure; counterplan; countermove; strategy; preparation (e.g. for a test)
1 きわ (際) : 1. edge; brink; verge; side 2. time; moment of
1 うんよう (運用) : 1. making use of; application; practical use; effective management (e.g. of funds) 2. operation; handling; steering (esp. a boat)
1 せいしき (正式) : due form; official; formality
1 かくにん (確認) : confirmation; verification; validation; review; check; affirmation; identification
1 よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal