🔥 この記事の詳細
2026-07-10 更新
C
月内に

GitHub上の200以上のリポジトリを利用してWindows向けマルウェアを配布する「Operation Muck and Load」キャンペーン

事案🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇺🇸 US
🖥️ 製品GitHub
📅 2026-07-10📰 securityweek
📌 一言でいうと
GitHub上の200以上のリポジトリを利用してWindows向けマルウェアを配布する「Operation Muck and Load」キャンペーンが確認されました。攻撃者は正当なオープンソースプロジェクト「dnsub」を装ったGoモジュールを配布し、PowerShellを介してスパイウェアやインフォスティーラーなどを感染させます。GitHub Actionsを悪用して大量のバージョンを自動生成し、検知を回避しようとする巧妙な手法が用いられています。
🔍該当判定
  • 開発者が GitHub 上で『dnsub』に関連する DNS/サブドメインスキャンツールを検索し、導入した
  • Go言語(Golang)を用いて開発を行っており、外部のライブラリ(モジュール)をインストールして利用している
  • Windows PC 上で、GitHub からダウンロードした Go 製のツールやスクリプトを実行した
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないサードパーティ製Goモジュールの導入を避け、パッケージのソースコードおよび依存関係を十分に検証すること。また、不審なPowerShellスクリプトの実行を制限するセキュリティポリシーを適用することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub上の悪意あるGoモジュール(Operation Muck and Load)への対応について

お疲れさまです。GitHub上のリポジトリを悪用したサプライチェーン攻撃に関する情報共有です。

■ 概要
「Operation Muck and Load」と呼ばれるキャンペーンにより、正当なツール(dnsub)を装った悪意あるGoモジュールが配布されています。このモジュールを導入すると、難読化されたPowerShellコードが実行され、最終的にスパイウェアやインフォスティーラー等のマルウェアに感染します。

■ 影響範囲
- GitHub上の不審なGoモジュールを利用して開発を行っている環境
- Windows OS(PowerShell経由で感染)

■ 対応手順
1. 開発チームに対し、信頼性の低いサードパーティ製Goモジュールの利用を禁止し、依存関係の監査を実施させる。
2. エンドポイントにおいて、不審なPowerShellプロセスの起動や、外部ドメインからのスクリプト取得を監視・ブロックする。
3. GitHub Actionsによる自動更新パッケージの導入に注意を払う。

■ 参考情報
- Socket Security Report

対応優先度: 中
対応期限: 速やかに確認
Subject: [Security Alert] Malicious Go Modules on GitHub (Operation Muck and Load)

Dear IT/Security Team,

We are sharing information regarding a supply chain attack campaign targeting Go developers on GitHub.

■ Overview
Operation Muck and Load involves over 200 GitHub repositories distributing malicious Go modules posing as a DNS scanning tool (based on the legitimate 'dnsub' project). These modules execute obfuscated PowerShell code to download and install malware, including spyware and infostealers.

■ Scope
- Environments utilizing unverified third-party Go modules from GitHub.
- Windows systems (via PowerShell execution).

■ Recommended Actions
1. Audit Go project dependencies and prohibit the use of unverified third-party modules.
2. Monitor and block suspicious PowerShell activity, specifically scripts fetching payloads from public dead-drop resolvers.
3. Implement strict package versioning and verification policies.

■ Reference
- Socket Security Report

Priority: Medium
Deadline: Immediate review