マルウェア拡散の悪党がGitHub上で5,500以上のリポジトリに悪意のあるコミットをプッシュし、メガロドンと呼ばれる自動化されたキャンペーンの一部となった。
約3,800のGitHubリポジトリを毒した以前のTeamPCP攻撃と同様に、この新しいキャンペーンはSafeDepの研究者によると現在5,561個のリポジトリをCI/CD認証情報盗難マルウェアに感染させており、彼らは捕食的なコミットを発見し、侵害されたリポジトリの完全なリストを公開した。
リポジトリのオーナーがコミットをマージすると、マルウェアはCI/CDパイプライン内で実行され、さらに伝播すると、Ox Securityのリード研究者Moshe Siman Tov Bustanは木曜日のブログ投稿で述べた。
メガロドンはAWSのシークレットキーとGoogle Cloudアクセストークンを盗みます。また、AWSのメタデータ、Google Cloud Platform、およびAzureのインスタンスロール認証情報、SSHプライベートキー、DockerおよびKubernetes設定、Vaultトークン、Terraform認証情報を照会し、30以上のシークレット正規表現パターンのソースコードをスキャンします。その後、クラウドプロバイダーとの認証に使用されるシークレットを含むGitHubトークンを流出させ、攻撃者が開発者のクラウドアイデンティティになりすましすることができるようにします。Bitbucketトークンも同様です。
つまり:あなたのすべてのCI/CD変数は侵害されたと考えてください。
「私たちは新しいサプライチェーン攻撃の時代に入り、TeamPCPがGitHubを侵害したのはほんの始まりです」とBustanはThe Registerに述べた。「次に来るのは無限の波、世界中の開発者に対するサイバー攻撃の津波です。」
さらに彼は、GitHubをハッキングすることは「プラットフォーム上でホストされているプライベートリポジトリを持つすべての企業のセキュリティを侵害する」と付け加えた。
悪意のあるコードは依然としてサーバーに到達しており、何もそれを止めることはできません
開発者の環境を襲う新しいサプライチェーン攻撃の波は、「npmやGitHubのような企業がサーバー上の悪意のあるコードの拡散に対して真摯な行動を取る」まで止まらないだろうと、Bustanは述べた。
彼はX上のnpmのステートメントに注目し、「2FAをバイパスする書き込みアクセス権を持つnpm粒度アクセストークンを無効化した」と述べていることを指摘し、Mini Shai Huludのような追加のサプライチェーン攻撃を防ぐためです。
「それはアカウント乗っ取りに少しは役に立つかもしれませんが、実際の問題を解決していません」とBustanは述べた。「悪意のあるコードは依然としてサーバーに到達しており、何もそれを止めることはできません。」
npm…ただしTeamPCPではない
SafeDepは正当なパッケージ内に隠されたメガロドンを発見しました:Tiledesk、オープンソースのライブチャットおよびチャットボットプラットフォーム。攻撃者はバージョン2.18.6(5月19日)から2.18.12(5月21日)までにバックドアを設置し、同じnpmメンテナが最後のクリーンバージョン2.18.5を公開した後、気付かないうちに新しい侵害されたバージョンを公開しました。
「攻撃者はnpmアカウントに一度も触れませんでした」とオープンソースサプライチェーンセキュリティスタートアップの研究者たちは述べた。「彼らはGitHubリポジトリを侵害し、メンテナはそれに気付かずに毒されたソースから公開しました。」
npm上で悪意のあるパッケージを公開することはTeamPCPの署名的な動きですが、Bustanは、メガロドンをTrivy、Checkmarx、およびその他の最近のサプライチェーン攻撃の背後にいるクルーに結び付ける脅威インテリジェンスまたはコード分析証拠がないと述べている。「現在の最良の推測は、それが彼らの行動とスタイルをコピーしている異なる脅威アクターですが、コード自体のほとんどではない」と彼は私たちに述べた。
TeamPCPがそのShai-Hululワームをオープンソース化し、BreachForumsでサプライチェーン攻撃コンペティションを発表したにもかかわらず、Oxはメガロドンがコンテストエントリーだとは考えていません。
「マルウェアの背後にいるアクターが自分の秘密鍵と照合して関与を証明できるような公開暗号化鍵を追加する特定のルールを持つコンテストの結果として、彼らがTeamPCPコンテストに参加していないことを示す兆候があります」とBustanは述べた。
build-botとは?
SafeDepの脅威ハンターは、悪意のあるコミット(acac5a9)を「build-bot」という著者にトレースし、メールアドレスbuild-system[@]noreply.devに接続され、メッセージは「ci: add build optimization step.」です。
著者名とnoreplyメールは自動CIコミットを模倣し、著者とコミッターユーザーフィールドにリンクされたGitHubアカウントはありません。「誰かがPRなしおよびマージコミットなしでコミットをマスターにプッシュしました。侵害されたPATまたはデプロイキーを使用して」とは研究者によると。
彼らは同じメールアドレスで著者したその他のコミットについてGitHubを検索し、2,878の結果を見つけました。さらに、別のメール([email protected])があり、追加で2,841個のコミットがあります。すべては5月18日の6時間ウィンドウ(UTC 11:36〜17:48)の間に着地し、5,561個のリポジトリを標的にしました。
これには9つの侵害されたTiledeskリポジトリが含まれます:tiledesk-server、tiledesk-dashboard、tiledesk-telegram-connector、tiledesk-llm、tiledesk-docker-proxy、tiledesk-community-app、tiledesk-campaign-dashboard、tiledesk-helpcenter-template、およびtiledesk-ai。その他には、8つの侵害されたリポジトリを持つBlack-Iron-Project、WISE-Community、および数百の小さいリポジトリが含まれます。®
