同機関は、重要なサプライチェーン全体にわたる認証情報やその他の機密情報を標的とした攻撃の波について警告した。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は木曜日、ハッカーが数週間にわたりソフトウェア開発パイプラインを標的にしたと警告し 、セキュリティチームに対して自社環境への侵害の可能性を確認するよう呼びかけた。
CISAは最近の2件のキャンペーンを参照した。その中には「Megalodon」サプライチェーン攻撃と、悪意あるNx Console Visual Studio Code拡張機能を通じたGitHubへの侵害が含まれる。
5月18日のMegalodon攻撃では、ハッカーが5,500以上のオープンソースリポジトリに悪意あるGitHub Actionワークフローを注入した。これはStep Securityのブログ投稿によるものだ。ブランチ保護が脆弱なリポジトリが標的とされ、クラウド認証情報、APIトークン、SSHキー、その他の機密情報が大規模に窃取される結果となった。
GitHubへの攻撃は、汚染されたサードパーティのVS Code拡張機能を使用してGitHub従業員のデバイスを侵害するものだった。CISAによると、このGitHub従業員への攻撃は、NX開発者システムへの以前の侵害を利用したものだという。
Nx Consoleの悪意あるバージョン18.95.0は5月19日に公開され、約18分間Visual Studio Marketplaceで入手可能な状態に置かれた。この問題にはCVE-2026-48027が割り当てられ、GitHubは関連するセキュリティアドバイザリを公開した。
不審なリクエストの確認
CISAはセキュリティチームに対し、ワークフローファイルおよびコントリビューターからのアクティビティの監視と監査を実施するよう求めている。不審なプルリクエストや直接コミット、特に自動化アカウントからのものには注意を払う必要がある。
CISAはセキュリティチームに対し、未承認の変更を元に戻すとともに、5月18日以降に加えられたあらゆる変更を確認するよう助言している。
侵害が過去に侵害されたNx ConsoleまたはGitHubアカウントとの関連で発見された場合、CISAは以下を推奨している:
- 継続的インテグレーション/継続的デリバリー(CI/CD)ログ、影響を受けた開発者のマシン、クラウド監査証跡のフォレンジックレビューを実施する。
- CI/CDパイプラインに関連する認証情報、トークン、機密情報を含むシークレットをローテーションまたは失効させる。
