概要

Skyfall StealerはWindows環境を対象に、Chrome系ブラウザ（Google ChromeやChromium派生）の保存されたログイン情報を取得して外部へ送信することを目的としたツールです。リポジトリには認証情報の抽出ロジック、Discord Webhookを用いたデータ送信機能、実行ファイルを生成するためのビルダーなどが含まれており、Pythonで実装されています。研究や防御、マルウェア分析の教材として参照可能ですが、実運用や不正利用は厳に慎む必要があります。（300字程度）

リポジトリの統計情報

• スター数: 46
• フォーク数: 0
• ウォッチャー数: 46
• コミット数: 30
• ファイル数: 9
• メインの言語: Python

主な特徴

• Chrome系ブラウザの保存パスワードやクッキー等の抽出機能を実装
• 抽出データの外部送信にDiscord Webhookを利用
• builder.py による実行可能ファイルのパッケージ化（配布用ビルドを想定）
• Windows APIやローカルファイル（SQLite、Local State等）へのアクセスを利用したデータ回収

技術的なポイント

Skyfall Stealerは、一般的なブラウザ情報窃取型の手法を踏襲しています。具体的には、ユーザープロファイルに保存された「Login Data」や「Cookies」などのSQLiteデータベースを読み取り、保存されたパスワードはブラウザ側で保護されているキー（Local Stateに格納された暗号化キー）を使って復号する流れが想定されます。Windows環境ではDPAPI（CryptProtectData/CryptUnprotectData）やプラットフォーム固有のキー管理を利用した復号処理が多く見られ、これを呼び出して平文を取り出す手法が実装されている可能性があります。抽出後のデータ送信にはDiscordのWebhookエンドポイントへPOSTする単純なHTTPリクエストが用いられており、被害者側のネットワークから外部サーバへプレーンテキストで送信される点が特徴です。

リポジトリ内のbuilder.pyは、スクリプトを単一バイナリにまとめたり、配布用のZIPやEXEを生成するための補助を行う役割と推測されます。また、Pythonベースのためライブラリ依存や実行環境の違いを吸収するための工夫（パッキング、依存の同梱、実行時条件チェックなど）が含まれていることが一般的です。セキュリティ対策の観点では、こうしたツールの検知にはEDRやアンチウイルスによるファイル／プロセスの挙動分析、疑わしい外部通信の検出、ブラウザプロファイルへの異常アクセスログの監視が有効です。最後に、実コードの解析や利用は法的・倫理的リスクが伴うため、企業内の検証は隔離された環境で行い、発見時は適切な通報と被害対応を行うべきです。（700字程度）

プロジェクトの構成

主要なファイルとディレクトリ：

• .github: dir
• .gitignore: file
• LICENSE: file
• README.md: file
• builder.py: file

…他 4 ファイル

まとめ

マルウェア分析や防御研究の題材として有益だが、実運用・悪用は法律違反。（50字程度）

リポジトリ情報：

• 名前: skyfall-stealer
• 説明: Chrome Credential Stealer that reports to Discord through Webhooks
• スター数: 46
• 言語: Python
• URL: https://github.com/AlanTXM/skyfall-stealer
• オーナー: AlanTXM
• アバター: https://avatars.githubusercontent.com/u/101748867?v=4

READMEの抜粋：

Skyfall Stealer

Windows Chrome Credential Stealer