掲載済み (2026-03-14号)
#188 130文字 • 1分

GitHubで見つけた「便利ツール」を解析したらマルウェアだった話

日本語
zenn.dev/hiyoko_sauna

掲載情報

2026年3月14日土曜日号 未掲載

概要

GitHub上の正規ツールを装ったリポジトリを解析し、正規のLuaJITをLOLBinとして悪用して難読化スクリプトからシェルコードを実行するマルウェアの手口を詳解した技術記事。

詳細内容

GitHubで公開されていたOpen Clawのインストーラーを装う不審なリポジトリ(sdwadsagw/OpenClawInstaller)の解析レポート。本マルウェアは、正規のLuaJIT実行環境(luau.exe)をLOLBin(Living off the Land Binary)として悪用し、VirusTotalで検出されない高度に難読化されたLuaスクリプト(asm.txt)を実行させる。記事では、FFIフックを用いた擬似動的解析とWindows VMでの動的解析を通じて、RWXメモリの確保、PE構造体の定義、ウィンドウの非表示化、ボットIDの生成、C2通信の準備といった攻撃チェーンを特定している。正規ツールをクローンして信頼を装い、短期間で更新を繰り返すGitHubを悪用した配布手法への警戒を呼びかけている。
元記事を読む 他のサマリーを見る