GitHubでトロイの木馬を配布するリポジトリ約1万件が発見——正規プロジェクトを複製して検索結果に紛れ込む

概要

GitHubで正規プロジェクトを複製しトロイの木馬を配布するリポジトリが約1万件発見されたと開発者のOrchid氏が報告した。リポジトリごとに名前・所有者が異なり、GitHub上では「フォーク」として扱われていないため、一見して不正なコピーと気付きにくい巧妙な手口だ。

詳細

• 発端：Orchid氏が自分のプロジェクト名を検索したところ、Bingで同名・同説明文の別ユーザーのリポジトリが表示
• 複製版には元のコミット履歴・貢献者情報まで引き継ぎ、READMEにZIPファイルダウンロードリンクを追加
• ZIPファイルには「Application.cmd」などが含まれ、マルウェア検査サービスVirusTotalでリンク単体は検出されないが、ZIP本体にトロイの木馬あり
• GH Archiveで直近5日間の約1600万件のコミットから絞り込み、約4万件の候補から約1万件が特徴に一致
• 共通特徴：READMEにZIPリンク、元リポジトリの更新履歴複製、最新コミットメッセージが「Update README.md」
• Hexastrikeは同様の手口で103アカウント・109件の偽リポジトリを2026年4月に報告済み
• 記事作成時点ではGitHubがスクリプトで発見したリポジトリの削除を開始、大部分が削除済み

参照

• 出典: https://gigazine.net/news/20260619-github-malware-distribution/
• はてなブックマーク: https://b.hatena.ne.jp/entry/s/gigazine.net/news/20260619-github-malware-distribution/