Microsoftが所有するソフトウェア開発者プラットフォームのGitHubは、第三者が3,800個の内部リポジトリへの不正アクセスを獲得したことを確認しました。
侵害は5月19日に検出され、GitHubのセキュリティチームが従業員のデバイスで発見した「毒性」Visual Studio Code(VS Code)拡張機能に由来する可能性があります。GitHubはソーシャルメディアで確認しました。
VS CodeはMicrosoftが開発した無料のオープンソースコードエディターです。GitHub Copilotという各種AIコーディングアシスタントと一緒に使用されることがよくあります。
侵害はTeamPCPハッキンググループによって主張されました。Breachedサイバー犯罪フォーラムに投稿して、グループはGitHubのソースコードと「~4,000個のプライベートコードリポジトリ」へのアクセスを獲得したと主張しました。TeamPCPは盗まれたデータについて最低でも$50,000を要求しています。
ただし、脅迫グループは、これは「身代金要求ではない」であり、GitHubを恐喝することに関心がないと述べました。
彼らはデータを1人の買い手にのみ売却し、「50k未満には関心がない」、「最高入札者がそれを獲得するだろう」と主張しました。彼らは買い手が見つかったら盗まれたデータを削除すると認定し、彼らの引退は差し迫っているように見えることを加えました。
彼らはまた、買い手が見つからない場合、彼らはデータを無料で流出させることを警告しました。
侵害を確認した後、Githubは現在それを「封じ込めた」と述べました。
「悪意のある拡張機能バージョンを削除し、エンドポイントを隔離し、すぐにインシデント対応を開始しました。重大なシークレットは昨日および一晩中にローテーションされ、影響が最も大きい認証情報を優先しました。」GitHubは述べました。
「ログの分析を継続し、シークレット回転を検証し、後続のアクティビティを監視しています。調査が必要に応じて追加の措置を講じます。」
同社はまた、調査が完了したら、より詳細なレポートを公開することを約束しました。
TeamPCP:オープンソースプロジェクトを通じたサイバー恐喝
TeamPCPはサイバー脅迫グループであり、大規模なソフトウェアサプライチェーン攻撃、特にオープンソースエコシステムとセキュリティ隣接ツールに対して急速に悪名高くなりました。
このグループはGitHub Actionsおよびその他のソフトウェア開発コンポーネントへの攻撃を通じて、Aqua SecurityのTrivyの脆弱性スキャナーやCheckmarxのKICSインフラストラクチャアズコード分析ツールなど、広く使用されているプロジェクトを繰り返し侵害しました。
その後、彼らはPython Package Index(PyPI)にキャンペーンを拡大し、LiteLLM AIゲートウェイクライアントライブラリとTelnyxの公式SDKを含む正規パッケージを侵害し、バックドア付きリリースを公開しました。
これらの直接的な侵害を超えて、彼らはPyPiタイポスクワッティングなどの他の欺瞞的なテクニックを使用して、ダウンストリームユーザーに認証情報を盗むマルウェアをプッシュしました。
これらの攻撃は、クラウド認証情報、SSHキー、Kubernetes設定、およびその他のソフトウェア開発シークレットなど、多くの組織から機密情報を収集するために設計されています。
TeamPCPはまた、これらのキャンペーンを通じて取得されたシークレットをさらに現金化する方法を模索し始めたと伝えられており、Lapsus$やVectランサムウェアグループを含む恐喝およびランサムウェアアクターとの明示的なパートナーシップを形成しました。
これらのグループに帰せられる公開声明は、TeamPCPが侵害されたサプライチェーンコンポーネント経由での初期アクセスを提供し、Vectが暗号化および恐喝を処理し、BreachForumsが大規模なオペレータベースを提供する運用モデルを説明しています。
同時に、「PCPJack」というダブ付きの別の脅迫フレームワークが、侵害された環境からTeamPCPアーティファクトを特に探し出して削除してから、追加のクラウド認証情報を盗むために横方向に拡散する前に削除する前に、TeamPCPが触媒となったクラウド焦点のサイバー犯罪の規模と競争性を強調しています。
翻訳元: https://www.infosecurity-magazine.com/news/github-confirms-breach-vs-code/
