GitHubで見つけた「便利ツール」を解析したらマルウェアだった話

ARANK

はじめにこの記事は前回の記事の続きです。前回はソーシャルエンジニアリングの手法として「ClaudeのArtifacts悪用したマルウェア配布」や「Open Clawの偽リポジトリでのマルウェア配布」についての記事を紹介しました。 Clawの便利ツールを装った不審なリポジトリをたまたま見つけたので、実際にダウンロードして解析してみた結果を共有します。対象リポジトリ / Fork2 / 0説明文「AI assistant for Open Claw」「Open Clawを簡単にインストールできるツール」として公開されていたリポジトリです。こちらのリポジトリは公式に偽装しているわけではなく、便利ツールという位置づけのリポジトリとなっており、そこにマルウェアを仕込んでいます。使い捨てアカウント（リポジトリと同日作成）という時点で怪しさ満点ですが、実際に中身を確認していきます。ZIPの中身[Release page]に置かれていた Claw-Installer-Open-2.8-alpha.3.zip を展開すると、以下の4ファイルが入っていました。ファイルサイズVT検出率説明StartApp.bat22 bytes-start luau.exe asm.txt を実行するだけluau.exe288,768 bytes25/76LuaJIT 2.1.0-beta3（正規バイナリ）lua51.dll390,144 bytes1/75LuaJI…