- GitHubは従業員の危険にさらされたデバイスが毒入りVSCode拡張機能を経由した内部リポジトリの流出につながったことを確認
- 脅迫行為者グループTeamPCPがダークウェブ上でおよそ4,000のリポジトリのアーカイブを販売しており、$50,000を要求し、証拠としてサンプルを共有している
- このグループは最近のnpmサプライチェーン攻撃の背後にもあり、開発者エコシステムに対する継続的なキャンペーンを浮き彫りにしている
世界最大級のオープンソースコードリポジトリの1つであるGitHubは、機密データが盗まれたサイバー攻撃の被害を受けたことを確認しました。
Xでの短い声明で、GitHubは従業員1名が毒入りVSCode拡張機能をダウンロードしたときにデバイスが侵害されたと述べました。
同社はマルウェアを削除し、エンドポイントを隔離して調査を開始し、攻撃者が機密データの一部を流出させたことが判明しました。
TeamPCPが責任を取る
「現在の評価では、このアクティビティはGitHub内部のリポジトリのみの流出に関与していた」とGithubは述べた。「攻撃者の約3,800リポジトリの主張は、当社の調査と方向的に一致しています。」
これに対してGitHubは重要なシークレットをローテーションし、ログの分析、シークレットローテーションの検証、およびフォローアップアクティビティの監視を継続しています。「調査の必要に応じて追加措置を講じます」と結論付けました。
約4,000のリポジトリのアーカイブが、TeamPCPとして知られている脅迫行為者によってダークウェブで販売されていると報告されており、CyberInsiderはグループがアーカイブと引き換えに$50,000を要求していると主張していますが、どうやら身代金メモは残されていません。
「ここにはプライベートコードの約4,000リポジトリが合計である」と悪党たちは述べたとされています。彼らはまた、彼らの主張の真正性を証明するためにサンプルを共有しました。誰もすぐに隠し場所を購入しない場合、攻撃者は無料でダークウェブにそれを漏らすと述べました。
ShinyHuntersの他に、TeamPCPは現在最もアクティブなグループの1つです。Shai-HuludおよびMini Shai-Huludキャンペーンの責任を負っており、そこで彼らは数え切れないほどのGitHubおよびnpmリポジトリを侵害し、それらを使用して数千のプロジェクトにマルウェアをプッシュしました。
最近、npmレジストリに600以上の悪意のあるパッケージを公開し、300以上の一意のパッケージをターゲットにしました。ログイン認証情報とアクセストークンを盗むことで、悪党は正当なパッケージにアクセスし、それらを更新してinfostealerマルウェアをプッシュし、認証情報を盗み出し、CI/CD環境を侵害します。
