巧妙化する偽オープンソースサイト："クリック"が命取りになるマルウェア配信の実態

巧妙な「門番」：トラフィック配信システム（TDS）

TDSは単なるリダイレクト機能ではなく、非常に高度な「門番」として機能します。Check Pointの分析によると、このTDSは、多層的な解析回避とフィルタリングを実行し、実際の人間の被害者と、セキュリティ研究者、サンドボックス（分析用の隔離環境）、自動クローラーなどを区別します。

これらのチェックを通過したユーザーだけが、最終的なマルウェアのペイロードへと誘導されるのです 。この「選別配信」によって、キャンペーンの全容解明は困難になり、感染が成功するたびに攻撃者にとっての「価値」は高まります。さらに、セッションごとに使い捨ての鍵を発行するなど、検知を逃れるための巧妙な技術が用いられています 。

3種の凶器：RemusStealer、AnimateClipper、SessionGate

このキャンペーンでは、それぞれ異なる収益化の目的を持った、3つのマルウェアファミリーの配信が確認されています。

1. RemusStealer：個人情報を根こそぎ窃取

サブスクリプション型の情報窃取マルウェア（MaaS：Malware-as-a-Service）で、250ドルから500ドルで販売されています。20種類以上のブラウザに保存された認証情報、220種類以上の暗号資産ウォレットの拡張機能、パスワードマネージャー、二要素認証ツールなど、ありとあらゆる重要データを狙います 。

2. AnimateClipper：暗号資産取引をリアルタイムで乗っ取り

暗号資産の送金時に、ユーザーがコピーした送信先ウォレットアドレスを、攻撃者のアドレスにリアルタイムですり替える「クリッパー」型のマルウェアです。20以上のブロックチェーンエコシステムでの取引を監視し、介入する能力を持ちます 。

3. SessionGate：未知のローダー

今回の調査で初めて詳細が明らかになったフレームワークで、多段階のローダーとして機能します。高度な難読化と広範な解析回避機能により、望ましくないアプリケーション（PUA）や他のペイロードを送り込みます。観測された攻撃の流れにおいては、システムへの最初の足がかりとして利用されています 。

グローバルに展開される長期作戦

このキャンペーンの規模は極めて大きく、その活動は2025年後半から確認されています。Check Pointの報告によると、すでに5,000件を超えるVirusTotalへの検体提出があり、それだけ広範な被害者が存在することを示しています。主な標的はトルコ、ポーランド、ブラジル、ドイツ、フランス、ロシア、イギリスなど、世界中に広がっています 。

開発者とセキュリティ関係者が取るべき対策

もはや「検索結果からツールをダウンロードする」という行為は、看過できないリスクを伴います。

• 公式リポジトリを確認する： ツールを入手する際は、必ず検索からではなく、ブックマークなどから直接、公式のGitHubやGitLabページにアクセスしてください。
• 「ダウンロード」の挙動を疑う： ダウンロードボタンを押した際に、予期せぬリダイレクトが発生したり、期待したファイル名と異なるものが配布されようとしたら、即座に中断してください。
• 見た目を信用しない： サイトの見た目の完成度は、もはや安全性の指標にはなりません。

今回の手口は、開発者コミュニティの「信頼」を根底から揺るがすものです。自動化された欺瞞と乗っ取られた信頼によって構築されたこのエコシステムに対抗するには、一人ひとりがダウンロードの手順を見直す以外にありません。