- CISAは、悪意あるNx Console VSCode拡張機能とMegalodonキャンペーンを通じてGitHubリポジトリを悪用する継続中のサプライチェーン攻撃に関する警告を発出した
- 脅威アクターはワークフローを汚染することでCI/CDシークレット、クラウド認証情報、トークンを窃取し、CISAはコントリビューターの活動とワークフローファイルの監査を強く求めた
- 推奨される緩和策には、フォレンジックレビュー、パイプラインシークレットの全ローテーション・失効、信頼できるパッケージバージョンへの固定、コミュニティによる検出を可能にするためのプル遅延などが含まれる
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、継続中の複数のサプライチェーン攻撃について警告を発し、開発者およびオープンソースプラットフォームの利用者に対して緩和策の適用と環境のセキュリティ確保を強く求めている。
今週初めに公開されたニュース警告の中で、同庁は悪意あるNx Console Visual Studio Code(VSCode)拡張機能を通じたGitHubリポジトリへの攻撃、およびMegalodonサプライチェーンキャンペーンについて警告した。これらの攻撃は「サイバー脅威アクターが、エンタープライズ、クラウド、DevOps環境を支えるツールやプロセス、特にCI/CDパイプライン、コード拡張機能、ワークフローをどのように悪用しているかを示している」と述べた。
脅威アクターはNx開発者システムへの以前の侵害を悪用し、汚染されたサードパーティ製VSCode拡張機能を通じてGitHub従業員のデバイスを侵害し、そのリポジトリにアクセスして内部に保存された機密情報を窃取した。
CISAの推奨事項
Megalodonでは、ハッカーが悪意あるGitHub Actionワークフローを注入してCI/CDシークレット、クラウド認証情報、トークンを窃取したとCISAは述べた。
これを踏まえ、CISAは組織に対してワークフローファイルとコントリビューターの活動を監視・監査し、不正な変更を元に戻すよう求めた。
侵害が判明した組織は、CI/CDログ、クラウド監査証跡、影響を受けた開発者マシンのフォレンジックレビューを実施し、すべてのシークレット(CI/CDパイプラインがアクセス可能なすべての認証情報、トークン、シークレット、APIキー、クラウドプロバイダー認証情報(Amazon Web Services、Google Cloud Platform、Microsoft Azure)、SSHキー、Docker/npm/PyPI/Vault/Terraform/Kubernetesトークン、GitHub/GitLab/Bitbucketトークン、開発者またはパイプラインシークレットを含む)をローテーション・失効させる必要があるとCISAは述べた。
パッケージリポジトリの利用については、CISAは新しいパッケージをプルする前に少なくとも3時間待つことを推奨している。これはコミュニティが不審または悪意あるコミットを発見するための十分な時間を確保するためである。また、ソフトウェアを特定の信頼済みバージョンに固定し、既知の信頼できるソースからのみパッケージを取得することも推奨している。
