4分で読む
出典:FlixPix(Alamy Stock Photo経由)
苦境に立たされているソフトウェアサプライチェーンを揺るがす最新の脅威キャンペーンにより、数千のGitHubリポジトリが資格情報を窃取するマルウェアに汚染された。
5月21日のブログ投稿において、サイバーセキュリティスタートアップのSafeDepは、「メガロドン」というコードネームが付けられた自動化マルウェアキャンペーンを報告した。このキャンペーンは5月18日に6時間という短い時間枠で展開された。その短時間の間に、メガロドンは5,561のGitHubリポジトリに対して5,718件の悪意あるコミットをプッシュすることに成功した。
SafeDepによると、脅威アクターはダミーアカウントと偽造した作者IDを使用して、CI/CDシークレット、クラウド認証情報、SSHキー、OpenID Connectトークン、ソースコードのシークレットをコマンド&コントロール(C2)サーバーへ流出させる悪意あるペイロードをGitHub Actionsのワークフローに注入した。
メガロドンキャンペーンは、今年急速に拡大し、ソフトウェアサプライチェーンを混乱させてきた一連の攻撃に続くものだ。
サプライチェーンの鮫がシークレットを狙う
SafeDepによると、メガロドンは2つのペイロードで構成されている。主要なマルウェアは「SysDiag」という名前の悪意あるYAMLファイルを追加し、プッシュやプルリクエストが行われるたびに新しいワークフローを追加する。より標的を絞った副次的なペイロードは、既存のワークフローを「workflow-dispatch」トリガーに置き換えるもので、これはステルスバックドアとして機能し、検出を回避し、有効化されるまでCIの実行を表示させない。
「これによりバックドアは休眠状態になります。Actionsタブには実行履歴が表示されず、ビルドの失敗もなく、CI履歴に赤信号は表示されません」と同社はブログで述べ、攻撃者はGitHub API経由でバックドアを有効化できると付け加えた。
SafeDepがメガロドンを最初に発見したのは、同社のMalysisエンジンがオープンソースのチャットボットプラットフォームTiledeskの一部であるnpmパッケージ「@tiledesk/[email protected]」にバンドルされたGitHub Actionsワークフローファイルに悪意ある活動を検出したときだ。Tiledeskには9つのバックドアが仕掛けられたリポジトリがあり、メンテナーは知らぬ間に汚染されたコードをダウンストリームユーザーに公開し、意図せずメガロドンの感染を広めていたことが判明した。
なぜこのキャンペーンがわずか6時間で終了したのかは不明だ。SafeDepのセキュリティエンジニアであるAbhisek Datta氏はDark Readingに対し、研究チームはメガロドンの分析においてタイムリミット的な動作を観察しなかったと述べている。
「私たちの仮説では、このキャンペーンは有効な認証情報を活用してリポジトリに感染したと考えています」とDatta氏は言う。「その認証情報は、開発者を標的にした以前のサプライチェーン攻撃によって入手された可能性が高い。攻撃者はこの時間帯に、手持ちのリストにあるすべての認証情報を使い切ったと考えられます。」
OX Securityは先週、メガロドンに関する追加調査を公開し、約3,500のGitHubリポジトリが悪意あるYAMLファイルを保持していることを確認した。
「感染したリポジトリの数は先週から若干減少しました——約3,500から約2,900へ——しかしそれでも攻撃から1週間以上が経過した現在も、約83%が依然として感染したままです」とOXのセキュリティリサーチャーであり、ブログ記事の著者であるMoshe Siman Tov Bustan氏はDark Readingに語る。「攻撃のウィンドウ自体はおよそ6時間後に閉じられましたが、GitHubはまだ影響を受けたリポジトリを完全にクリーンアップしていません。」
メガロドンとTeamPCPの関係は?
メガロドンキャンペーンは、その多くがTeamPCPとして知られる新興の脅威グループによる仕業とされる、複数の注目を集めたサプライチェーン攻撃に続くものだ。メガロドンの感染は、TeamPCPが攻撃者が約4,000の内部リポジトリからコードを窃取したGitHubでの大規模な侵害への関与を主張する1日前に発生している。
メガロドンはTeamPCPの仕業なのか?Siman-Tov Bustan氏はブログ記事で、メガロドンに感染したコミットはすべて2001年9月17日というハードコードされた日付と、[email protected]または[email protected]という偽のボットIDを使用していると指摘した。これは、Shai-Huludワームに関するTeamPCPが自ら流出させたソースコードで観察された動作に類似していると同氏は記している。
しかしSiman Tov Bustan氏は、それらは「表面的な類似点」に過ぎず、現時点ではTeamPCPをメガロドンに結びつける直接的なリンク、識別可能な侵害の痕跡(IOC)、または犯行声明は存在しないと述べている。「帰属を確立しうる一つの指標は、攻撃間で窃取データの暗号化に同じ公開鍵が使用されていることでしょう。なぜならグループ自身だけがそれを復号できるからであり、それは意味のあるシグナルになりえます」と同氏は言う。「今のところ、この関連性は未確認のままです。」
Datta氏も同意見で、技術的指標の相関関係はなく、ペイロードおよびTTP(戦術・技術・手順)も異なって見えると述べている。「ただし、[メガロドン]キャンペーンで盗まれた認証情報を活用したという私たちの仮説を踏まえると、TeamPCPと関連グループがアクセスを共有して協力していた可能性を完全には排除できません。」
別のサイバー犯罪組織との協力はTeamPCPにとって異例ではなく、同グループは今年初めに新興のランサムウェアギャングであるVectと正式な同盟を結んでいる。しかし現段階では、攻撃者が誰であるか、そして彼らの最終的な目標が何であるかは不明だ。
一方、OX Securityは組織に対して、メガロドンのC2サーバーへの接続をブロックすること、GitHubリポジトリのマルウェア、GitHub Actions、悪意あるYAMLファイルを監査すること、そして不審な活動が検出された場合はすべての認証情報、SSHキー、APIキー、その他のシークレットを失効・ローテーションするよう促した。
5月中に順次公開されるDR20コンテンツの一覧はこちら。新しいコンテンツを随時確認してください!
翻訳元: https://www.darkreading.com/application-security/megalodon-malware-infects-thousands-github-repos
