nimrod-stealer — トークン/パスワード窃取型マルウェアのリポジトリ解析

Security
nimrod-stealer — トークン/パスワード窃取型マルウェアのリポジトリ解析

nimrod-stealer — トークン/パスワード窃取型マルウェアのリポジトリ解析

Discordトークンやブラウザパスワード、クッキー、暗号ウォレット情報などを窃取することを目的とした「nimrod-stealer」というプロジェクトのリポジトリを技術的観点から解説します。リポジトリ構成、主な機能、技術的な特徴、リスク評価と防御対策をまとめたセキュリティ向けの概説記事です(約300字)。

https://github.com/Nick-p-w/nimrod-stealer

概要

nimrod-stealerは、Discordトークンの取得、ブラウザのクッキーや保存パスワードの窃取、暗号ウォレット(Metamask、Atomic、Exodus 等)、Telegramデータや特定ファイルの収集を謳う「トークン/情報窃取ツール」です。リポジトリ自体は最小構成でREADME、ライセンス、圧縮された実行ファイルと思しきnimrod-stealer.zipを含み、セットアップ手順やビルダー(builder.bat、install.pyといったスクリプトを想定する記述)がREADMEに記載されています。攻撃者がWebhook等を設定してリモートへデータを送信するための仕組みが想定されており、用途は悪意ある情報窃取である点に注意が必要です。

GitHub

リポジトリの統計情報

  • スター数: 68
  • フォーク数: 3
  • ウォッチャー数: 68
  • コミット数: 30
  • ファイル数: 4
  • メインの言語: 未指定

主な特徴

  • Discordトークンや電話番号、メール、フレンド情報の抽出を謳う
  • ブラウザのクッキーと保存パスワードの窃取
  • 暗号ウォレット(Metamask、Atomic、Exodus等)の情報抽出
  • Telegramや指定ファイルの収集、Webhook経由のデータ送信

技術的なポイント

nimrod-stealerのREADMEとファイル構成から推測できる技術的特徴は次の通りです。プロジェクトはコンパイル済みバイナリやアーカイブ(nimrod-stealer.zip)を配布し、ビルダー/設定用スクリプトを通じてWebhookなどの送信先を埋め込むワークフローを採用しています。標的情報の収集対象はローカル環境(ブラウザのプロファイル、ローカルストレージ、ウォレットディレクトリ、Telegramデータ等)であり、これらのデータを解析してトークンやパスワードを抽出する処理が含まれると見られます。Discordに関しては「Discord Injection」やトークンの直接抽出を謳っており、プロセスメモリ/ファイルからトークン形式の文字列を検索する手法、ブラウザのSQLiteデータベースやローカルストレージを読み取る手法を組み合わせる可能性が高いです。通信はWebhook(READMEに「WEBHOOK HERE」とある)へのPOSTやAPI呼び出しによる外部送信を想定し、データの圧縮や暗号化で検出回避を図るビルドオプションがあることも一般的です。リポジトリが最小構成である一方、zipに実行可能なペイロードを同梱する手口は、入手・配布の簡易化と解析難度の誘導(バイナリ中心)を意図しています。こうしたツールは悪用の可能性が高く、法的・倫理的な問題が伴います。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .github: dir
  • LICENSE: file
  • README.md: file
  • nimrod-stealer.zip: file

READMEにはインストールやビルダー(install.py、builder.batに言及)の手順が記載されていますが、リポジトリ上にビルド用スクリプトが同梱されていない可能性や、実行ファイルがzipに含まれる設計が見て取れます。

セキュリティ評価と対応策(補足)

この種のリポジトリは情報窃取を目的としたツールであり、セキュリティ研究以外の利用は違法・不倫理となります。組織での防御観点からは以下を推奨します:

  • エンドポイント検知:挙動に基づくEDR(プロセスの不審なファイルアクセス、複数ブラウザプロファイルへの同時アクセス、外部Webhookへの送信)で検知ルールを整備する。
  • ファイル無害化:メールやダウンロード経路でのZIP/実行ファイルのスキャンとブロックを強化する。
  • 資格情報の保護:ブラウザやアプリでのパスワードマネージャ利用、OSレベルのクリアテキスト保護、2要素認証(MFA)の徹底。
  • ネットワーク制御:未知の外部Webhookや不審な送信先へのアウトバウンド通信を制限する。
  • インシデント対応:疑わしい感染が判明した場合は速やかにネットワーク切断、証拠収集、パスワード/トークンのローテーションを実施する。

まとめ

悪用可能な情報窃取ツールであり、検出と防御が重要です(50字程度)。

リポジトリ情報:

注意:本記事は教育・防御目的の解析を目的としています。ツールの実行や配布は法的責任を伴う可能性があるため、許可のない利用は行わないでください。