Vare Stealer(解析レポート)

Security
Vare Stealer(解析レポート)

Vare Stealer(解析レポート)

JavaScriptで実装された「Vare-Stealer」のリポジトリ解析。READMEではDiscord、ブラウザ、Robloxのトークンやクッキー・パスワードを窃取する「Fully Undetected」なスティーラーとして宣伝されています。本記事はリポジトリ構成、主な特徴、技術的着目点、検出と対策をセキュリティ観点から整理し、意図的な悪用を助長しない範囲で解説します(実行や再利用の手順は含みません)。

https://github.com/themonsterdev/Vare-Stealer

概要

Vare-StealerはGitHub上に公開されているJavaScriptベースのリポジトリで、READMEの記述やリリース資産から「Discordやブラウザ、Robloxのトークンやクッキー・パスワード等を窃取する」スティーラーであることが示唆されています。リポジトリにはビルド用のスクリプトやリソースが含まれ、配布用のZIPがリリースに置かれている形跡もあります。セキュリティ観点から、本ツールは個人情報やアカウント情報を不正に取得するための悪意あるソフトウェアに該当する可能性が高く、実行・配布は法律や利用規約に抵触する危険性があります。解析記事は研究・防御目的での理解を目的とし、実行方法や悪用手順は記載しません。

GitHub

リポジトリの統計情報

  • スター数: 66
  • フォーク数: 3
  • ウォッチャー数: 66
  • コミット数: 30
  • ファイル数: 11
  • メインの言語: JavaScript

主な特徴

  • Discordやブラウザ、Robloxのトークンやクッキー、保存パスワードの窃取を目的とするツールとして宣伝されている点。
  • JavaScriptを主体とした構成で、ビルドスクリプト(build.js)等の自動化資産を含む。
  • 「Fully Undetected(検出回避)」を謳っており、実行ファイル化や難読化・パッキングを前提とした作りになっている可能性。
  • リリースにバイナリやZIPを配布する形跡があり、配布/実行を想定した構成がある点。

技術的なポイント

本リポジトリは表面的にはJavaScriptプロジェクトとして管理されており、build.jsの存在からソースを単一実行ファイルや配布物へ変換する「ビルド/パッケージ化」処理が組み込まれていると推定されます。こうしたスティーラー系ソフトウェアは、ブラウザのプロファイルやDiscordクライアントのローカルファイル、保存済みの認証トークン・クッキー・パスワードを抽出して外部へ送信することを目的にしていますが、GitHub上のコードから推測される典型的な技術的特徴を整理します。

  • データ収集方法(高レベル): ローカルファイルシステムからの資格情報抽出、ブラウザプロファイル内のクッキーや保存パスワードの読み取り、OSやアプリケーションの設定ファイルの走査など複数ソースを組み合わせて情報を集約する設計が一般的です。
  • 変換・難読化: 「Undetected」をうたうプロジェクトでは、文字列難読化・暗号化、パッケージング(ネイティブバインディングや単一実行ファイル化)で静的検出を回避しようとする傾向があります。build.jsはそのためのビルドフローを担っている可能性があります。
  • 通信経路: 収集したデータは外部の受け取り先(C2サーバ、Webhook、クラウドストレージ等)へ送信されます。通信はHTTP(S)やWebhookなど既存サービスの仕組みを悪用するケースが多く、送信先やプロトコルの使い方が検出回避に影響します。
  • モジュール設計: JavaScript主体でもネイティブモジュールや外部ランタイム(Node.js、Electron等)を利用し、プラットフォーム間で動作を実現することが考えられます。READMEやバイナリ配布の有無から、配布物は実行環境を包含する形になっている可能性があります。

解析や防御観点では、リポジトリの公開情報やリリース物をそのまま実行することは危険です。コード中の通信先やハードコードされた識別子、ビルドスクリプトの振る舞いなどは調査対象になりますが、これらを外部に漏らしたり実行手順を示すことは悪用に繋がるため省略します。研究目的で取り扱う場合は隔離環境(オフラインやサンドボックス)での静的解析が必須です。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .github: dir
  • .gitignore: file
  • LICENSE: file
  • README.md: file
  • build.js: file

…他 6 ファイル

上記のうちbuild.jsやREADME.md、リリースアセット(ZIP等)が解析上の注目点です。READMEはこのプロジェクトの用途を明確に示しており、リリースには実行可能な配布物が含まれている可能性があるため、リポジトリ単体でも潜在的リスクが高いと言えます。

検出と対応(防御観点)

  • 表面的な兆候: 不審なプロセスの生成、見慣れない実行ファイル、予期しないネットワーク接続、アカウントの不審なログインや二要素認証の問題などが間接的な痕跡になります。
  • 解析の注意点: マルウェア解析は専用の隔離環境(ネットワーク隔離・スナップショット取得が可能な仮想環境)で行うこと。実行やリバースエンジニアリングを行う際は法的・倫理的な枠組みを遵守してください。
  • 対策: エンドポイント保護(EDR/アンチウイルス)の導入、ソフトウェアとOSの適時更新、セキュリティログ監視、疑わしい添付ファイルやダウンロードのブロック、疑わしいリポジトリや配布物を用いたテストの禁止などが基本的な防御策です。
  • 通報: 悪意あるソフトウェアや違法配布を見つけた場合は、プラットフォームの報告機能や関係する法執行機関、組織内のセキュリティ担当へ速やかに報告することが推奨されます。

まとめ

公開リポジトリながら悪用目的の可能性が高く、解析は慎重かつ隔離環境で行うべきです。

リポジトリ情報:

READMEの抜粋:


Logo

Vare Stealer

Fully Undetected Discord Browser Stealer

...

(注)本記事はリポジトリの公表情報と一般的なマルウェア分析の知見に基づく解説です。実行や再配布、悪用を助長する情報提供は行っていません。安全運用・防御目的での利用にとどめ、違法行為には関与しないでください。