TokyoBlackHatNews

helpnetsecurity.com 4分で読了

GitHubとGrafana Labsの侵害はTanStackのサプライチェーン侵害に遡る

GitHub CISOのAlexis Walesは、脅威グループTeamPCPの手による侵害の背後にある悪意のあるVS Code拡張機能を名指ししました。それは220万インストール数を誇る人気のデベロッパーツール「Nx Console」です。

そうでなければ無害な拡張機能の悪意のあるバージョンが、秘密情報とデベロッパー認証情報を盗むために使用され、その後CI/CDパイプラインを通じて移動し、GitHubのプライベートコードリポジトリ約3,800個を流出させました。

1つの見落とされたトークン、多くの被害者

同社は水曜日に侵害を確認し、調査が完了したら詳細なレポートを公開することを約束しました。

その直後、Walesは、GitHubの従業員がインストールした毒入りVS Code拡張機能を公に特定し、攻撃者はリポジトリへのアクセスを取得できました。

Nx Consoleのメンテナーは、拡張機能の悪意のあるバージョンがMicrosoftが所有するVisual Studio MarketplaceとベンダーニュートラルレジストリOpen VSXの両方でどのように公開されたかについての独自の調査から浮かび上がった情報を共有しています。

「当社の開発者の1人がTanStackの最近のサプライチェーン侵害によって侵害され、GitHub CLI(gh)を通じて彼らのGitHub認証情報が漏洩しました。これにより、攻撃者は貢献者としてGitHubリポジトリでワークフローを実行することができました」と彼らは説明しました。

「MicrosoftとOpenVSXによると、影響を受けた18.95.0バージョンのダウンロード数はそれぞれ28と41でした。しかし、当社の内部分析によれば、影響ははるかに大きく、数千人の影響を受けたユーザーがいると考えられます。」

影響を受けたユーザーの1人がGitHubの従業員でした。侵害された拡張機能は難読化されたペイロードを取得し、被害者の認証情報を収集することができました。

その中には、HashiCorp Vaultシークレットマネージャーのログイントークン、KubernetesまたはAWSアイデンティティシステムで認証するための認証情報、npmレジストリにパッケージを公開するために使用される認証トークン、GitHubの個人アクセストークン、OAuthトークン、およびアプリトークン、被害者の1Passwordボルトに保存された認証情報、Google Cloud PlatformおよびDocker認証情報が含まれていました。

「収集されたデータはHTTPS、GitHub API、およびDNS経由で流出されました。Linuxではまたsudoersインジェクション用の永続性も試行されました」とNx Consoleメンテナーは述べ、「マシンから到達可能なすべての認証情報を回転させる」を含む対策のアドバイスを提供しました。

同様にGitHub環境が侵害されコードベースが盗まれたGrafana Labsも、侵害をTanStack npmサプライチェーン攻撃に遡りました。

「インシデントはMini Shai-Huludキャンペーンを介したTanStack npmサプライチェーン攻撃に由来しています。5月11日に悪意のあるアクティビティを検出し、直ちにインシデント対応計画を開始しました」とGrafana LabsのCISO、Joe McManusが述べました

「当社は分析を実行し、大量のGitHubワークフロートークンを迅速に回転させましたが、見落とされたトークンにより、攻撃者はGitHubリポジトリへのアクセスを獲得しました。その後のレビューにより、当初影響を受けていないと考えていた特定のGitHubワークフローが実際には侵害されていることが確認されました。」

同社は攻撃者から連絡を受け、盗まれたコードベースを公開または販売しないと引き換えに支払いを要求されましたが、Grafana Labsはランサムを支払わないことを決定しました。

TeamPCPはオープンソースエコシステム全体を自動化しました

TanStackのサプライチェーン侵害は42個のnpmパッケージに影響を与えました。悪意のあるバージョンは認証情報盗難JavaScriptペイロードを含めるようにされました。

この侵害は、最近数週間の多くの他の侵害と同様に、TeamPCPによって作成・操作されている自己複製型サプライチェーン「ワーム」Mini Shai-Huludを介して実行されました。

この「ワーム」により、CI/CD認証情報を盗んでそれらを活用してさらに多くのパッケージの感染バージョンを公開することで、サプライチェーン攻撃を自動化することが可能になります。

オープンソースユーティリティとAIミドルウェアをターゲットにしたサプライチェーン攻撃を専門とするサイバー犯罪グループTeamPCPは、GitHub侵害を宣言しており、Grafanaのものも同様に実行している可能性があります。

翻訳元: https://www.helpnetsecurity.com/2026/05/21/github-grafana-breach-root-cause-nx-console/

ソース: helpnetsecurity.com
#CI/CD セキュリティ #GitHub #Grafana #npm #Nx Console #TanStack #TeamPCP #サプライチェーン攻撃 #ワーム #認証情報盗難

関連記事

MicrosoftがAIエージェント設計・テスト用ツールをオープンソース化

当局がランサムウェア犯罪者によって使用されたFirst VPNを摘発

Microsoft Defenderの脆弱性が野生で悪用されている(CVE-2026-41091、CVE-2026-45498)