DevOps
初期評価では顧客データは影響を受けなかったが、ユーザーは他に何が流出した可能性があるか疑問視している
世界最大のコードリポジトリであるGitHubおよびDevOpsプラットフォームは、悪意のあるVisual Studio Code(VS Code)拡張機能の被害を受けました。同社の初期評価では、流出したのは内部リポジトリのみだということです。
同事件はGitHubによってX上で報告され、フォローアップ投稿で「毒性のあるVS Code拡張機能」が原因であることが明かされました。Microsoft傘下のコードリポジトリは「ログを分析し、シークレットローテーションを検証し、その後のアクティビティを監視」し続けています。
GitHubの投稿では「攻撃者が主張している約3,800個のリポジトリ」が調査結果と一致していると述べられています。これはShai-Huludワームに関連するマルウェア集団TeamPCPに起因する投稿を指す可能性があり、そのコードは公開され、広範な被害をもたらしました。
投稿では、同集団がGitHubの内部ソースコードを売却用に提供し、約4,000個のリポジトリを主張しました。彼らはそれは身代金ではなく、買い手が見つからない場合はコードを無料でリークすると述べています。このような主張は慎重に扱う必要があります。
GitHubユーザーの重大な懸念は、盗まれた認証情報を通じて攻撃者が内部システムに足がかりを得た場合、プライベートリポジトリが即座に、または将来的にリスクにさらされるかどうかです。リスクには商用コードと認証情報の漏洩が含まれます。最良の慣行はシークレットをパブリックまたはプライベートのいずれのリポジトリにもチェックインしないことですが、リポジトリがプライベートの場合、一部の組織はこれに関して規律がありません。
先月、Wiz Researchが発見したGitHub.comおよびGitHub Enterprise Server(セルフホスト版)のリモートコード実行脆弱性は、研究者によると「非常に簡単に悪用できた」ものです。この脆弱性はAIを使用して発見されました。
GitHubの最新の問題に対する開発者の反応は、懸念と諦観、そしていくつかのユーモアを組み合わせています。「攻撃者はどのようにして侵入するのに十分な稼働時間を見つけたのか?」と一人が冗談めかして言いました。
GitHubは困難な状況にあります。この侵害は、npm攻撃の急増の後に発生し、その多くはShai-Huludコードに関連し、同社は2025年9月以来この問題を認識していたにもかかわらず防止できませんでした。さらに、プラットフォームは大規模言語モデルにデータを供給するためにAIボットがパブリックコードを吸収することに起因する信頼性の問題を抱えています。この問題はHashiCorp共同創業者Mitchell HashimotoがGitHubを「もはや本格的な仕事の場ではない」と宣言するに至りました。
別の人述べたのは、「ソースコードアクセスを持つ開発者マシンが有意義なセキュリティシステムへのアクセスも持つという時代は終わるべきです。内部リポジトリアクセスは何も意味しないべきです…GitHub侵害はいつでも、GitHub自体からも起こる可能性があります。」
クラウドプラットフォームの問題は、GitHubの代替であるベルリンベースのCodebergを支えるForgejoのようなセルフホスト型システムのオープンソースの魅力も高めています。
GitHubは調査が完了したら「より詳細なレポート」を約束しており、現在のようにXでのみ報告されるのではなく、おそらく自身のサイトに投稿されると思われます。®
