オープンソース分析ソフトウェアの人気開発者であるGrafana Labsは、最近のデータ侵害と恐喝事件が、TanStackパッケージを侵害したMini Shai-Huludキャンペーンによって引き起こされたことを明かしました。
AI搭載の可視化アプリGrafanaを製造しているGrafana Labsは、5月17日に、権限のない攻撃者が同社のGitHub環境にアクセスした後、コードベースをダウンロードしたことを発見したと述べました。
今週の更新で、開発者はインシデントについて詳しく説明し、5月11日に最初に悪意のある活動を検出し、それがTanStack供給チェーン攻撃に関連していることを明かしました。
TeamPCP脅威アクターは、GitHubアクションを含むCI/CD環境を対象とした認証情報窃取マルウェアで、数十のTanStack npmパッケージを侵害しました。
これは、悪意のあるパッケージがリリースされたとき、GrafanaのCI/CD環境がそれを自動的に消費し、情報盗取ツールが実行されてGitHubワークフロートークンを流出させたことを意味しました。
「私たちは分析を実施し、かなりの数のGitHubワークフロートークンを迅速にローテーションしましたが、見落とされたトークンにより、攻撃者が当社のGitHubリポジトリへのアクセスを得てしまいました」とGrafanaは認めました。「その後のレビューで、当初影響を受けていないと判断した特定のGitHubワークフローが、実際には侵害されていたことが確認されました。」
詳細情報:Mini Shai-HuludがAntV Ecosystemのnpmパッケージ数百個を侵害
「身代金グループから連絡を受けるとすぐに、自動化トークンのローテーション、強化されたモニタリングの実装、5月11日のインシデント以降のすべてのコミットの監査、およびGitHubのセキュリティ体制の大幅な強化を含む軽減措置を開始しました」とGrafanaは続けました。
Grafana Labsはまた、TeamPCPが同社のGitHubリポジトリから、同社のコードベースと共に、追加の「内部運用情報およびその他の詳細」を取得したことを明かしました。
「これには、業務上の関係文脈で交換されるビジネス連絡先の名前とメールアドレスが含まれており、本番環境やGrafana Cloudプラットフォームの使用を通じて取得または処理された情報ではありません」と述べました。
同社は、現段階では、顧客の本番システムまたは運用が侵害されたという兆候がないことを改めて述べました。
Mini Shai-Huludからの継続的な脅威
このインシデントは、この特定のMini Shai-Huludキャンペーンから生じている下流側での被害者の一例に過ぎません。
TanStackは述べました、脅威アクターは5月11日に42個の@tanstack/*パッケージ全体で84個の悪意のあるバージョンを公開しました。情報盗取ツールはGitHubアクショントークンだけでなく、GitLab、CircleCI、AWS、Google Cloud Platform、Azure、Kubernetes、HashiCorp Vault、パッケージレジストリトークンも対象としていました。
このキャンペーンはTanStackユーザーだけに影響を与えたわけではありません。TeamPCPはまた、OpenSearch npmバージョン、PyPI mistralai 2.4.6、PyPI guardrails-ai 0.10.1、およびさらなる@squawkパッケージを侵害する範囲を拡大しました。
このMini Shai-Huludキャンペーンは、TeamPCPがTanStack独自のCI/CDパイプラインを侵害したため特に危険でした。つまり、悪意のあるパッケージが有効で暗号署名されたものとして提示されました。これにより、下流の開発者がその環境で実行しているセキュリティフィルタをすべてバイパスすることが保証されました。
翻訳元: https://www.infosecurity-magazine.com/news/grafana-labs-code-breach-tanstack/
