GitHubは、3,800個の内部リポジトリに侵害したハッカーが、先週のサプライチェーン攻撃で侵害された悪意のあるNx Console VS Code拡張機能を介してアクセスを獲得したと述べています。TanStack npmサプライチェーン攻撃
この攻撃はTeamPCP脅威グループに属しており、数十のTanStackおよびMistral AI npmパッケージの侵害から始まり、盗まれたCI/CD認証情報を使用して、他のプロジェクト(UiPath、Guardrails AI、OpenSearchを含む)に急速に拡大しました。
TeamPCPは開発者コードプラットフォームを対象とした他の主要なサプライチェーン攻撃にリンクされていました。PyPI、NPM、GitHub、Docker、そしてより最近では「Mini Shai-Hulud」サプライチェーンキャンペーン(これは2人のOpenAI従業員にも影響しました)。
広告主のウェブサイトにアクセスページを表示
GitHubは火曜日に侵害を明らかにし、内部リポジトリへの不正アクセスの主張を調査していると述べ、BleepingComputerに、従業員が拡張機能の名前を明かさずに悪意のあるVisual Studio Code(VS Code)拡張機能をインストールしたことが原因だと伝えました。
水曜日の夜に公開されたブログで、GitHub CISO Alexis Walesは、侵害にはNx ConsoleのNxの公式Visual Studio Codeマーケットプレイス拡張機能の悪意のあるバージョンが含まれていると述べました。これにより、開発者は複雑なターミナルCLIコマンドに完全に依存することなく、大規模なリポジトリとマルチプロジェクトコードベースを管理できます。
Walesは、GitHubがその後侵害されたデバイスを保護し、影響を受けたリポジトリの外に保存されている顧客データが盗まれたという証拠をまだ発見していないと付け加えました。
「私たちは月曜日から火曜日にかけて最大影響度の認証情報を優先して重要なシークレットをローテーションしました」とWalesは述べました。「ログの分析を続け、シークレットローテーションの検証を行い、後続のアクティビティについてインフラストラクチャを監視しています。調査が必要に応じて追加の措置を講じます。」
GitHubはまだ攻撃を特定のハッキンググループまたは脅威アクターに属させていませんが、TeamPCPサイバー犯罪ギャングはGitHubソースコードと「約4,000個のプライベートコードリポジトリ」へのアクセスを火曜日のBreachedフォーラムで請求し、盗まれたデータについて最低5万ドルを要求しています。
これは、Nx開発者が月曜日に明らかにしたことに続くものです。Nx Console 18.95.0の悪意のあるバージョンがVisual Studio Marketplaceで約18分間、OpenVSXでさらに36分間利用可能だった後、GitHubとMicrosoftと攻撃の影響を共同で調査していた。
毒された拡張機能は、npm、AWS、Kubernetes、GitHub、GCP/Dockerを含む幅広いプラットフォームの認証情報とシークレットを盗むために設計された悪意のあるペイロードをデプロイしました。
「私たちの開発者の1人が、Tanstackの最近のサプライチェーン侵害によって侵害され、GitHub CLI(gh)を通じてGitHub認証情報が漏洩しました。これにより、攻撃者は貢献者としてGitHubリポジトリ上でワークフローを実行することができました」とNXチームは述べました。
「MicrosoftとOpenVSXによると、影響を受けた18.95.0バージョンのダウンロード数はそれぞれ28と41という少数でした。[..] 攻撃から2日後、当社のアナリティクスはVSCodeから約6,000の拡張機能のアクティベーション、その他のエディタ(CursorなどのVSCodeフォークを含む)からは0を記録しました。」
近年、数百万のインストール数を持つ複数の他の悪意のあるVS Code拡張機能が公式のVS Codeマーケットプレイスに忍び込んでおり、開発者の認証情報やその他の機密データを盗むために使用されています。
昨年、9百万のインストール数を持つ複数のVS Code拡張機能がセキュリティリスクのために削除されました。XMRig暗号マイナーでユーザーに感染した10個を含みます。一方、基本的なランサムウェア機能を持つ悪意のある拡張機能は、脅威アクターWhiteCobra24個の暗号盗難拡張機能でフラッディングした後に、VS Codeマーケットプレイスで後に発見されました。
1月には、AI基盤のコーディングアシスタントを装った2つのさらなる拡張機能が150万のインストール数で、侵害された開発者システムから中国のサーバにデータを流出させるために使用されていました。
GitHubのクラウドベースプラットフォームは、400万以上の組織(フォーチュン100企業の90%を含む)と、420百万以上のコードリポジトリに寄稿する1億8,000万以上の開発者によって使用されています。
検証ギャップ:自動化されたペンテストが答える1つの質問。あなたには6つが必要です。
自動化されたペンテストツールは実在の価値を提供しますが、それらは1つの質問に答えるために構築されました:攻撃者はネットワークを通過できますか?それらはあなたのコントロールが脅威をブロックするか、あなたの検出ルールが発動するか、またはあなたのクラウド構成が保持されるかをテストするために構築されていませんでした。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
