C
月内に
GitHub上の200以上のリポジトリを利用してWindows向けマルウェアを配布する「Operation Muck and Load」キャンペーン
📌 一言でいうと
GitHub上の200以上のリポジトリを利用してWindows向けマルウェアを配布する「Operation Muck and Load」キャンペーンが確認されました。攻撃者は正当なオープンソースプロジェクト「dnsub」を装ったGoモジュールを配布し、PowerShellを介してスパイウェアやインフォスティーラーなどを感染させます。GitHub Actionsを悪用して大量のバージョンを自動生成し、検知を回避しようとする巧妙な手法が用いられています。
🔍該当判定
- 開発者が GitHub 上で『dnsub』に関連する DNS/サブドメインスキャンツールを検索し、導入した
- Go言語(Golang)を用いて開発を行っており、外部のライブラリ(モジュール)をインストールして利用している
- Windows PC 上で、GitHub からダウンロードした Go 製のツールやスクリプトを実行した
上記いずれにも該当しない → 静観でOK
✅該当時の対応
信頼できないサードパーティ製Goモジュールの導入を避け、パッケージのソースコードおよび依存関係を十分に検証すること。また、不審なPowerShellスクリプトの実行を制限するセキュリティポリシーを適用することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub上の悪意あるGoモジュール(Operation Muck and Load)への対応について
お疲れさまです。GitHub上のリポジトリを悪用したサプライチェーン攻撃に関する情報共有です。
■ 概要
「Operation Muck and Load」と呼ばれるキャンペーンにより、正当なツール(dnsub)を装った悪意あるGoモジュールが配布されています。このモジュールを導入すると、難読化されたPowerShellコードが実行され、最終的にスパイウェアやインフォスティーラー等のマルウェアに感染します。
■ 影響範囲
- GitHub上の不審なGoモジュールを利用して開発を行っている環境
- Windows OS(PowerShell経由で感染)
■ 対応手順
1. 開発チームに対し、信頼性の低いサードパーティ製Goモジュールの利用を禁止し、依存関係の監査を実施させる。
2. エンドポイントにおいて、不審なPowerShellプロセスの起動や、外部ドメインからのスクリプト取得を監視・ブロックする。
3. GitHub Actionsによる自動更新パッケージの導入に注意を払う。
■ 参考情報
- Socket Security Report
対応優先度: 中
対応期限: 速やかに確認
お疲れさまです。GitHub上のリポジトリを悪用したサプライチェーン攻撃に関する情報共有です。
■ 概要
「Operation Muck and Load」と呼ばれるキャンペーンにより、正当なツール(dnsub)を装った悪意あるGoモジュールが配布されています。このモジュールを導入すると、難読化されたPowerShellコードが実行され、最終的にスパイウェアやインフォスティーラー等のマルウェアに感染します。
■ 影響範囲
- GitHub上の不審なGoモジュールを利用して開発を行っている環境
- Windows OS(PowerShell経由で感染)
■ 対応手順
1. 開発チームに対し、信頼性の低いサードパーティ製Goモジュールの利用を禁止し、依存関係の監査を実施させる。
2. エンドポイントにおいて、不審なPowerShellプロセスの起動や、外部ドメインからのスクリプト取得を監視・ブロックする。
3. GitHub Actionsによる自動更新パッケージの導入に注意を払う。
■ 参考情報
- Socket Security Report
対応優先度: 中
対応期限: 速やかに確認
Subject: [Security Alert] Malicious Go Modules on GitHub (Operation Muck and Load)
Dear IT/Security Team,
We are sharing information regarding a supply chain attack campaign targeting Go developers on GitHub.
■ Overview
Operation Muck and Load involves over 200 GitHub repositories distributing malicious Go modules posing as a DNS scanning tool (based on the legitimate 'dnsub' project). These modules execute obfuscated PowerShell code to download and install malware, including spyware and infostealers.
■ Scope
- Environments utilizing unverified third-party Go modules from GitHub.
- Windows systems (via PowerShell execution).
■ Recommended Actions
1. Audit Go project dependencies and prohibit the use of unverified third-party modules.
2. Monitor and block suspicious PowerShell activity, specifically scripts fetching payloads from public dead-drop resolvers.
3. Implement strict package versioning and verification policies.
■ Reference
- Socket Security Report
Priority: Medium
Deadline: Immediate review
Dear IT/Security Team,
We are sharing information regarding a supply chain attack campaign targeting Go developers on GitHub.
■ Overview
Operation Muck and Load involves over 200 GitHub repositories distributing malicious Go modules posing as a DNS scanning tool (based on the legitimate 'dnsub' project). These modules execute obfuscated PowerShell code to download and install malware, including spyware and infostealers.
■ Scope
- Environments utilizing unverified third-party Go modules from GitHub.
- Windows systems (via PowerShell execution).
■ Recommended Actions
1. Audit Go project dependencies and prohibit the use of unverified third-party modules.
2. Monitor and block suspicious PowerShell activity, specifically scripts fetching payloads from public dead-drop resolvers.
3. Implement strict package versioning and verification policies.
■ Reference
- Socket Security Report
Priority: Medium
Deadline: Immediate review