GitHubは火曜日の遅い時間に、毒性のあるVisual Studio Code拡張機能を通じて従業員のデバイスが侵害されたため、内部リポジトリが流出したと述べました。このインシデントは、ソフトウェア開発プラットフォームと第三者製開発者ツールの周りに構築されたエコシステムが直面する増大するリスクを浮き彫りにしています。
Microsoftが所有する同社はX上の投稿で、侵害を検出して封じ込め、悪意のあるエクステンションバージョンを削除し、影響を受けたエンドポイントを隔離し、インシデント対応調査を開始したと述べました。同社の現在の評価では、このアクティビティはGitHub内部リポジトリのみに関わっていたとのことです。
GitHubはまた、ソフトウェア開発パッケージを狙った攻撃の背後にあるハッキンググループであるTeamPCPからの、3,800のリポジトリが影響を受けたという主張は、これまでの調査と「方向性が一致している」と述べました。同社は重要なシークレットが火曜日にローテーションされ、最も影響力のある認証情報が最初に優先順位付けされたと述べました。同社はログを分析し、シークレットのローテーションを検証し、追加のアクティビティを監視し続けると述べました。
同社は関与した拡張機能を公開して名前を付けておらず、またこのアクティビティを特定のグループに帰属させていません。報告によると、TeamPCPはサイバー犯罪フォーラムで資料の販売を宣伝し、買い手が現れなかった場合はリリースすると脅迫していました。
このエピソードはまた、一連のサプライチェーン攻撃に続いています。npm、PyPI、Docker、その他の開発者エコシステムに関わるものです。これらのインシデントでは、攻撃者はエンドユーザーを直接攻撃するのではなく、メンテナー、パッケージ、または認証情報をターゲットにすることが多いです。複数の攻撃は、脅威行為者がますますこれらの環境をターゲットにしているため、開発環境がいかに脆弱になったかを示しています。単一の侵害された開発者アカウント、パッケージ、拡張機能、またはビルドプロセスは、多くのダウンストリームシステムへのアクセスをもたらす可能性があります。
GitHubは、影響を受けたリポジトリの外に保存されている顧客データが影響を受けたという証拠がないと述べています。
Visual Studio Code拡張機能は、プログラミング言語、テストツール、クラウドサービス、人工知能アシスタントのサポートを含むMicrosoftのコードエディターに機能を追加するために、開発者によって広く使用されています。これらの拡張機能は開発環境内で動作することが多いため、悪意のあるまたは侵害された拡張機能はソースコード、認証情報、およびビルドシステムの近くに配置することができます。
「VS Code拡張機能について人々が過小評価していることは、開発者のマシン上のあらゆるものへのフルアクセスを持っているということです」と、Aikido Securityのセキュリティ研究者であるCharlie Eriksenは、CyberScoopに語りました。「EDRはこのレイヤーを全くカバーしていません。ほとんどの組織に欠けているのは、開発者マシン上で実際に実行されているものに関するあらゆる種類の可視性と、それを制御する能力です。」
トロイの木馬化された拡張機能は以前VS Code Marketplaceに登場しています。セキュリティ研究者は、認証情報を盗む、暗号通貨をマイニングする、またはデータを流出させるために使用されるパッケージを含む、正当な開発ツールを装った悪意のある拡張機能を特定しています。削除前に大規模なインストール数を蓄積したものもあり、大規模なオープンプラグインエコシステムを監視することの困難さを反映しています。
GitHubにとって、このブリーチは開発者インフラストラクチャのセキュリティに関する広がる精査の中で発生しています。プラットフォームは企業、政府、オープンソースメンテナー、および独立した開発者のソフトウェア生産の中心に位置しています。GitHubのサービスはソフトウェア業界の大部分でコードホスティング、パッケージ配布、自動化、およびアイデンティティワークフローをサポートしているため、その内部システムとコードは攻撃者にとって明らかに関心のあるものです。
GitHubは、調査が完了したときに、より詳細なレポートを公開すると述べました。
翻訳元: https://cyberscoop.com/github-internal-repositories-vs-code-extension-attack/
