CyberGeeksTech

攻撃者が配布用インストーラに自らのSSH認証情報やGitLabトークンをハードコードしたまま残し、約1年間の窃取キャンペーン全体を露呈させた事例が報告されています。偽の暗号資産取引アプリ「TralertFX」を囮に使う北朝鮮系アクターVELVET_CHOLLIMAの活動とみられ、フロント企業とみられる名義の正規EV証明書で署名されたMSIのAV検知率はわずか3/52。 窃取データの送出にGitLabへの自動コミットを使い境界防御の回避を狙った一方、配布物に認証情報やトークンを残す致命的なミスでインフラ全体が露呈した形です。 【攻撃の仕組みと規模】 ・GitLabリポジトリをペイロード配信と窃取データの送出の両方に利用。システム偵察、キーロガー、ブラウザ認証情報窃取の3モジュールが30分間隔のgitコミットで盗んだデータを自動送信し、通常の開発者トラフィックに紛れる構成 ・発見時点でコミット数は4,100件超、侵害ホストは90台以上。攻撃者は被害者ごとに名前付きフォルダで窃取データを手動分��し、暗号資産トレーダーを優先的に選別していたとされる ・最終ペイロードはオープンソースRATであるXenoRATの派生マルウェア「MoonPeak」。2025年6月から続くオペレーションで、当初はGitHubを使用していたが10月にGitLabへ移行し、11月以降は文字列ごとにシフト値の異なるシーザー暗号で難読化を強化 ・EV証明書の発行先AgilusTech LLCはフロント企業と中〜高い確度で評価されており、コンパイルから署名まで26分で完了する自動ビルドパイプラインの存在も示唆されている 詳細は以下を参照： https://t.co/lAtAL0Ekin