TokyoBlackHatNews

csoonline.com 4分で読了

GitHubが3,800個の内部リポジトリの侵害後、大規模なソースコード漏洩を認める

GitHubは、TeamPCPが主張する増加し続けるハッキングの最新事例を、汚染されたVS Code拡張機能のせいにしました。

マイクロソフトのGitHubは、攻撃者が同社の約3,800個の内部リポジトリからコードを流出させたことを確認した後、これまでで最大級のセキュリティ侵害を被りました。

インシデントのニュースは5月19日に最初に浮上しました。GitHubは「不正アクセス」を調査していると述べました。数時間後、同社のXアカウントは最悪の事態を確認しました:

「昨日、汚染されたVS [Visual Studio] Code拡張機能を含む従業員デバイスの侵害を検出し、封じ込めました。悪意のある拡張機能バージョンを削除し、エンドポイントを分離し、インシデント対応を直ちに開始しました」とGitHubは述べました

「現在の評価では、活動はGitHub内部リポジトリのみの流出を伴っていました。攻撃者の現在の約3,800リポジトリの主張は、これまでの調査と方向的に一致しています。」

GitHubはさらに以下のように述べました:「ログの分析を継続し、秘密の回転を検証し、その後の活動を監視しています。調査が必要な限り、追加の措置を講じます。」同社は調査が完了したら、完全なインシデント報告書を公開することを約束しました。

この数字は、TeamPCP脅威グループが4,000リポジトリを侵害したという以前の主張と一致していました。少なくとも「50k」を支払う意思のある買い手が見つからない場合、盗まれたコードをリークするという脅迫が含まれていました。同グループはLimeWireコンテンツ共有プラットフォームに侵害されたリポジトリのリストを投稿して、その主張を裏付けました。

「いつものように、これは身代金ではありません。Githubを脅迫することには関心がなく、1人の買い手がいれば、こちら側でデータを破棄します。退職が近いようなので、買い手が見つからない場合は無料でリークします」とグループは述べました。

GitHubは侵害につながった汚染されたVS Code拡張機能の名前を挙げていませんが、セキュリティ企業Akido Securityは、同じく5月19日のTeamPCPの別の攻撃と関連がある可能性があると推測しています。その攻撃は、人気のあるNx Console VS Code拡張機能にバックドアを仕込みました。

「悪意のあるバージョンは、開発者がワークスペースを開いた瞬間から認証情報をサイレントに収集していました。Aikido Intelを含むコミュニティがそれをすぐに検出し、11分以内にバージョンを削除しました」と、AkidoのテクニカルプロダクトマーケターであるShaun Brownは書きました

Nx Consoleのセキュリティ勧告は、侵害されたバージョン18.95.0の公開窓を18分間に設定し、開発者にバージョン18.100.0へのアップデートを勧めました。メンテナーの内部分析によると、数千の開発者が感染したバージョンに引っかかっていました。認証情報を盗むために攻撃者が狙ったファイルパスには、Kubernetes、npm、AWS、1Password、秘密鍵、およびGitHubが含まれていました。

同じく5月19日のキャンペーンは、ノードパッケージマネージャー(npm)オープンソースレジストリの重大なサプライチェーン侵害につながり、攻撃者は22分間でAntVエンタープライズデータビジュアライゼーションツールの名前空間全体に637個の悪意あるバージョンを公開しました。

これは、5月11日にTanStack Routerパッケージエコシステムを標的とした攻撃の後に起きました。その攻撃は停止される前に170個のマルウェア感染バージョンを排出することができました。

「これらは不確実なパッケージや未知のパブリッシャーからの拡張機能ではありません。これらは開発者が何も考えずに使用するツールです。まさに、インストール数、検証済みパブリッシャーバッジ、およびマーケットプレイスの信頼性があるためです。これらは安全性を示しています」とBrownは述べました。

「高いインストール数は高価値の侵害を意味します。検証済みパブリッシャーは開発者がためらわないことを意味します。公式マーケットプレイスは誰もチェックするとは思わないことを意味します。」

TeamPCPの手口は簡単です:プラットフォーム更新の弱点または盗まれた認証情報を利用して、防御者が対応する前に、オープンソースソフトウェアを使用している企業にできるだけ深く潜り込む、短く鋭いワーム攻撃を実行することです。

インシデント数が増え始めるにつれて — 3月のTeamPCPによるTrivy脆弱性スキャナーへの攻撃と、Axios npm JavaScriptHTTPクライアントライブラリへの別の攻撃を含む — 証拠は、オープンソース開発者ツールを標的とする戦略が急速に次の大きなセキュリティ課題になっていることを示しています。

翻訳元: https://www.csoonline.com/article/4174747/github-admits-major-source-code-leak-after-3800-internal-repositories-breached-2.html

ソース: csoonline.com
#GitHub #NPM供給チェーン攻撃 #TeamPCP #VS Code拡張機能 #セキュリティ侵害 #ソースコード漏洩 #マルウェア #ランサムウェア脅迫 #認証情報盗出 #開発者ツール攻撃

関連記事

SHub Reaper、1つのMacOS攻撃チェーンでApple、Google、Microsoftになりすまし

なぜセキュリティ修正がご自身の脆弱性ダッシュボードに届かないのか

Microsoftがランサムウェアギャングが使用するマルウェアコード署名サービスを破壊