TokyoBlackHatNews

gbhackers.com 4分で読了

信頼された開発者ツールがコードと機密情報の窃取に悪用される

攻撃者はソフトウェアサプライチェーンに侵入するために信頼された開発者ツールを武器化するケースが増加しており、CISAはCI/CDエコシステムと開発者ワークフローを標的とした複数の継続的なキャンペーンについて警告を発している。

最近の事例には、侵害されたVisual Studio Codeの拡張機能と「Megalodon」と呼ばれる大規模な作戦が含まれており、現代のソフトウェア開発を加速するために設計されたツールそのものを敵対者が悪用している実態が浮き彫りになっている。

最も重大な事例の一つは、Nx Console Visual Studio Code拡張機能に関するもので、脅威アクターがNx開発者インフラの以前の侵害を利用して、汚染されたアップデートを配布した。

バージョン18.95.0として識別された悪意のあるバージョンは、VS Codeのアップデートメカニズムを通じて自動的に配信されたため、開発者は手動操作なしにバックドア入りの拡張機能を受け取ることになった。

この侵害チェーンは最終的にGitHub従業員のデバイスの侵害につながり、攻撃者が内部リポジトリへの不正アクセスを獲得し、機密ソースコードを窃取することを可能にした。

この脆弱性にはCVE-2026-48027が割り当てられ、現在CISAの既知の悪用された脆弱性カタログに掲載されており、実際に悪用が行われていることを示している。

CISAのセキュリティ研究者は、この攻撃がエンドユーザーシステムではなく開発者ツールエコシステムを標的とする攻撃者の増大する傾向を示していると指摘している。

信頼された拡張機能に悪意のあるコードを挿入することで、攻撃者は従来のセキュリティ管理を回避し、正規の開発環境内で活動することができる。

GitHubはその後、この事件の詳細を記したセキュリティアドバイザリを発行し、Nxはサプライチェーンの侵害を確認し、修復作業の概要を説明する事後分析を公開した。

並行して、「Megalodon」として知られる別のキャンペーンが、CI/CDパイプラインに悪意のあるワークフローを挿入することでGitHubリポジトリを積極的に標的としている。

侵害された拡張機能に依存したNxの事例とは異なり、MegalodonはGitHub Actionsを悪用して、自動化されたビルドおよびデプロイメントプロセスから直接機密情報を収集する。

脅威アクターは不正なワークフローファイルを挿入するか、既存のファイルを改変して、APIキー、クラウド認証情報、認証トークンなどの機密データを抽出する。

これには、AWS、Google Cloud、Microsoft AzureなどのメジャークラウドプロバイダーのほかDocker、Kubernetes、Terraformなどのプラットフォームのトークンに紐づいた認証情報が含まれる。

CI/CDパイプラインは多くの場合、昇格した権限と本番環境へのアクセスを持っているため、単一の侵害されたワークフローが組織のインフラ全体を露出させる可能性がある。

Ox SecurityおよびSafeDepを含む複数のセキュリティ企業の研究者は、このキャンペーンが多数のパブリックリポジトリに影響を与えており、悪意のあるコミットを偽装するために自動化されたボットアカウントが頻繁に使用されていると報告している。

CISAは積極的に対応作業を優先させており、組織が潜在的な侵害を検出・封じ込めるためのガイダンスを発行している。

セキュリティチームは、リポジトリのアクティビティ、特にビルドボットやパイプラインボットなどの自動化アカウントからの不審なプルリクエストやコミットを注意深く監視することが推奨される。

侵害が疑われる組織は、CI/CDログ、開発者エンドポイント、クラウド監査証跡の完全なフォレンジックレビューを実施すべきである。

APIキー、SSH認証情報、パイプライントークンを含むすべての機密情報の即時ローテーションと失効が重要であり、これは最初の侵入後の継続的な不正アクセスを防ぐために不可欠なステップである。

類似した攻撃へのリスクを軽減するため、CISAはコミュニティによる検証の時間を確保するために新しくリリースされたパッケージの採用を遅らせること、信頼されたバージョンへの依存関係の固定、および検証済みのソースへのダウンロード制限を推奨している。これらの実践は、悪意のあるアップデートや依存関係のハイジャックに関連するリスクの軽減に役立つ。

これらのキャンペーンの収束は、ソフトウェアサプライチェーンの悪用に向けた攻撃者戦略のより広範な変化を浮き彫りにしている。

開発者ツールと自動化パイプラインを標的とすることで、脅威アクターは高価値な環境へのスケーラブルなアクセスを獲得しており、積極的な監視と厳格な依存関係管理が現代のソフトウェアセキュリティに不可欠となっている。

翻訳元: https://gbhackers.com/trusted-dev-tools-abused/

ソース: gbhackers.com
#CI/CDパイプライン #CISA #GitHub Actions #Megalodon #Visual Studio Code #サプライチェーン攻撃 #ソフトウェアセキュリティ #マルウェア拡張機能 #認証情報窃取 #開発者ツール

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚