ここ数年、Mac ユーザーは、Microsoft が所有する GitHub 上で、人気のソフトウェアを装い、被害者を騙してパスワードを渡させようとする偽アプリの波に直面している。
この詐欺は2025年9月初旬、r/macappsフォーラムで初めて表面化しました。あるユーザーが、有名なMacユーティリティを模倣した不審なリポジトリを発見したのです。開発者のマイケル・ツァイ氏は後に、自身のアプリ「EagleFiler」がGitHub上で複製され、盗用されたアイコンやマーケティングテキストまで含まれていたことを明らかにしました。
「ダウンロード」はアプリではなく、ユーザーのパスワードを収集するシェル スクリプトをインストールする Base64 コマンドでした。
偽物は一見本物らしく、アプリ名、ロゴ、スクリーンショットなどは実際の開発者から盗用したものを使用しています。リポジトリのURLでさえ、小文字の「i」を大文字に置き換えることで、ユーザーを騙すように作られています。
標準のインストーラーを提供する代わりに、リポジトリはユーザーに「アプリ」をターミナルにドラッグするよう指示します。一見無害な手順のように見えますが、実際にはmacOS Gatekeeperを回避し、マルウェアをインストールし、認証情報を平文で保存するスクリプトを実行します。
最も分かりやすい兆候の一つはファイルサイズです。正規のEagleFilerインストーラーは約13MBですが、偽造版は2MB未満でした。攻撃者はスキャンを回避するためにジャンクデータでファイルサイズを膨らませることもありますが、いずれの場合も疑わしいと言わざるを得ません。
誰が狙われているのか
ツァイ氏は、Rogue Amoebaを含む他の開発者のアプリも偽装されたと指摘した。StopTheMadness Proの開発者であるジェフ・ジョンソン氏は、自身のアプリ名を悪用した複数の偽リポジトリの存在を報告した。
StopTheMadness Proの偽バージョン。画像提供:ジェフ・ジョンソン
GitHubで「macOS向け」を検索すると、1Blocker、BBEdit、Figma、Little Snitch、VLC Media Playerなどを装った偽プロジェクトが多数見つかります。どれも同じ手法を採用しており、検索ランキングを操作するための「SEOキーワード」セクションまで含まれています。
GitHubが主要な標的となる理由
なりすましは急速に広がり、GitHubは報告を受けて一部のリポジトリを削除しました。攻撃者は匿名アカウントを無制限に作成できるため、他のリポジトリは数日、あるいは数週間もそのまま残り、クリーンアップ作業はまるでモグラ叩きのゲームのようになってしまいます。
GitHubはGoogleのPageRankシステムのおかげで、検索において非常に大きな影響力を持っています。そこでホストされている偽のリポジトリは、開発者自身のサイトよりも上位に表示されることがよくあります。そのため、無料のMacアプリを探しているユーザーは、簡単に罠に陥ってしまうのです。
この詐欺は、オープンソースユーザーの間でGitHubが信頼を得ていることを悪用しています。彼らはGitHub上のものはすべて安全だと思い込んでいることが多いのです。攻撃者は、この誤った安心感につけ込んでいます。
Macを狙うマルウェアは、2012年のFlashbackトロイの木馬から最近のアドウェア攻撃まで、長年存在してきました。しかし、攻撃者が戦略の一環として正規アプリの偽装に注力するようになったことが新たな点です。
攻撃者は、怪しいダウンロードサイトではなく、開発者が正規のコードを共有するために利用するインフラそのものを悪用しています。彼らはコミュニティの信頼を装ってマルウェアを仕込み、プラットフォームのSEO効果を悪用しています。
ターミナルに接続しようとするアプリには注意してください。画像クレジット:Reddit
攻撃者は攻撃手法を変えており、かつては市場シェアの多さからWindowsを標的とするマルウェアが多かった。しかし、macOSを使用する開発者やクリエイターが増えたことで、Macに特化した詐欺を作成する動機が強まっている。
AppleのGatekeeperとXProtectセキュリティツールは多くの悪意のあるファイルを検出し、ユーザーには「このアプリは検証できませんでした」といった警告が表示されることがよくあります。しかし、これらの保護機能は完璧ではありません。
ユーザーがターミナルにスクリプトをドラッグして意図的に回避した場合、Appleの安全対策はあまり役に立ちません。その時点で、ソーシャルエンジニアリングはすでに効果を発揮しています。
GitHubマルウェアや偽Macアプリによる被害を避ける方法
何かをダウンロードする前に、まず開発者の公式サイトにアクセスしてください。本物のダウンロードページには、GitHubの公式リポジトリ、署名、リリースノートへのリンクがあります。検索結果でGitHubページが最初に表示される場合は、開発者が実際にそのページを所有しているかどうかを確認してください。
ターミナルのプロンプトは強制終了として扱ってください。正規のMacアプリは、ターミナルにアイテムをドラッグしたり、Base64コマンドを貼り付けたりするよう要求しません。インストーラーがそのようなプロンプトを出す場合は、アプリを閉じてファイルを削除してください。
可能な限り、Mac App StoreやHomebrewなどの安全なソースを使用するようにしてください。完璧ではありませんが、サンドボックス、キュレーション、チェックサムによって、GitHubマルウェアが人気ソフトウェアを装うリスクを低減できます。
ページが正規のものに見えても、疑いを持ち続けましょう。攻撃者はアイコン、テキスト、サポートメールをコピーし、怪しい検索エンジン最適化(SEO)技術を使って正規の検索結果の上位に表示させようとします。数分余分に検証するだけで、クリーンアップにかかる時間を節約できます。
![アップルは高額なスーパーボウル広告を中止し、iPhoneで撮影したオンラインムービーでMacの30周年を記念した。[u] | AppleInsider](https://image.tslro.com/imggkole/25/1a/katie_marsal.webp)
