TokyoBlackHatNews

darkreading.com 4分で読了

GitHubが侵害を確認、4,000件の内部リポジトリが盗まれる

Image

出典:Sundry Photography via Alamy Stock Photo

GitHubは本日、数千の内部リポジトリを盗んだ攻撃者による侵害を確認しました。

TeamPCPは、オープンソースエコシステムを執拗に狙う金銭目的の脅威アクターであり、昨日は著名なDark Webデータ侵害フォーラムに、GitHubから盗まれた内部ソースコードと組織データを販売することを投稿しました。広告によると、これは「約4,000個のプライベートコードリポジトリ」で構成されており、関心のある買い手に販売されるものでした。

「いつもと同じように、これはランサムウェアではありません。私たちはGitHubを脅迫することに関心がありません。買い手が1人いれば、私たちの側でデータを破棄します。私たちのリタイアメントはもうすぐのようです。買い手が見つからない場合は、無料でリークします」と投稿には書かれていました。

しかし、GitHubは本日、X上の公式企業アカウントで一連の投稿で広告の主張を部分的に確認しました。Microsoft傘下の同社によると、GitHubは昨日、毒入りVS Code拡張機能に関わる従業員デバイスの侵害を検出して封じ込めました。GitHubは悪意のある拡張機能のバージョンを削除し、エンドポイントを分離し、インシデント対応を開始したと述べています。

「現在の評価では、当社の活動はGitHub内部のリポジトリのみの流出に関わるものでした。攻撃者の現在の約3,800個のリポジトリの主張は、これまでの当社の調査と方向性は一致しています」と一連の投稿には読まれました。「リスクを軽減するために迅速に行動しました。重大なシークレットは、最も影響の大きい認証情報を優先して、昨日と一晩中にローテーションされました。ログの分析、シークレットローテーションの検証、およびフォローアップアクティビティの監視を継続しています。調査が保証する限り、追加のアクションを実行します。調査が完了したら、より詳細なレポートを公開します。」

TeamPCPは最近、開発者にとって侮れない存在となっています。セキュリティ専門家は昨年始まったShai-Hulud自己複製ワーム攻撃をTeamPCPに結びつけており、さらに認証情報攻撃などで組織を狙っています。最近、TeamPCPはGitHubにShai-Hulud のソースコードを公開し、ワームをさらに拡散させるための努力をしています

GitHub侵害が問いかけるもの:何が起きたのか?

TeamPCPが毒入りバージョンのVisual Studio Code(VS Code)拡張機能(またはタイポスクワッティングされたアプリケーション)を通じてGitHubを攻撃するというアイデアは、脅威アクターの能力の範囲内です。最近のキャンペーンの多くはそのような脅威アクティビティを含んでいます。

Microsoft傘下のGitHubがVS Code拡張機能を通じて侵害されたことは注目に値します。これはGitHubがオープンソースソフトウェアセキュリティにコミットしてから1年後、およびMicrosoftが改善されたセキュリティプラクティスにコミットしてから2年後のことです。VS CodeはMicrosoft形式ですが、必ずしもMicrosoft拡張機能ではありません。したがって、侵害の被害者には若干の猶予があるべきですが、オープンソースエコシステムへの脅威は数か月間よく確立されています。

ベンダーSilverfortのクラウドおよびアイデンティティセキュリティの責任者であるRoy Akermanは、Dark Readingに、この攻撃が開発者ツール周辺の信頼モデルが「根本的に破れている」ために起きたと述べています。

「VS Code拡張機能はエディタ自体と同じ権限で実行され、インストール後は開発者が到達できるすべてのものにアクセスできます」と彼は言います。「そのコードが実行される前に有意な検証はありません。この侵害を顕著にしているのは侵入ポイントではなく、TeamPCPがGitHubの独自インフラストラクチャを武器として端から端まで使用したという事実です。彼らは侵害された開発者ツールと信頼されたリリースワークフローを活用して、GitHub従業員のマシンに到達した毒入りVS Code拡張機能を含む悪意のあるコードを配布しました。」

電気電子技術者協会(IEEE)のシニアメンバーであるKayne McGladeryは、VS Code拡張機能が完全な信頼で実行されることについての懸念を繰り返し、「つまり、開発者のファイルシステム、認証情報、クラウドキー、SSHキー、環境変数にアクセスできる」と述べています。

Dark ReadingはGitHubに追加のコメントを求めて連絡しました。

翻訳元: https://www.darkreading.com/application-security/github-confirms-breach-4k-internal-repos-stolen

ソース: darkreading.com
#GitHub侵害 #Shai-Hulud #TeamPCP #VS Code拡張機能 #オープンソース #サプライチェーン攻撃 #データ漏洩 #内部リポジトリ #認証情報窃盗 #開発者セキュリティ

関連記事

偽のAndroidアプリがプレミアムサービスのキャリア請求詐欺を実行

サイバーセキュリティ専門家、AIが良いものか悪いものかを判断できない

プロセスと文化がデータ漏洩の主要な原因