侵害されたGitHubアカウントを悪用した攻撃者が開発者向けに認証情報窃取マルウェアを配布していたことを受け、Red Hatは月曜日、ソフトウェア配布パイプラインから数十のパッケージを削除しました。
同社の暫定分析によると、侵害されたGitHubアカウントが顧客への悪意あるコードの配布に使用され、週に約117,000回ダウンロードされている32のパッケージが影響を受けました。
Red Hatは、影響を受けたパッケージをすでに削除したとし、「現時点の調査結果に基づくと、顧客による対応は不要」と述べています。
今回の攻撃では、TeamPCPと追跡されているサイバー犯罪グループが5月12日にオンラインで完全なソースコードを公開した自己増殖型ワーム「Mini Shai-Hulud」の亜種が使用されました。セキュリティ企業Tenableが指摘したように、この犯罪グループは「同時にBreachForumsにおいて、このコードを用いた最大規模のサプライチェーン攻撃に対して1,000ドルの懸賞を発表した」とのことです。
月曜日の攻撃がTeamPCP自身によるものか、公開されたコードを使用した別の攻撃者によるものかは、現時点では特定できていないと研究者らは述べています。Palo Alto NetworksのUnit 42は、ワームのコードのオープンソース化がすでに模倣活動を生み出しており、明確な帰属特定をより困難にしているとして、Mini Shai-Huludは「もはやTeamPCPだけの領域にとどまらない」と警告しました。
攻撃に使用されたマルウェアは、作者が「Miasma」と命名したもので、TeamPCPのオリジナルとは外見上の違いのみにとどまっています。SF作品「デューン」への言及がギリシャ神話の要素に置き換えられていますが、根底にある認証情報窃取機能はそのまま維持されています。
月曜日の攻撃は、2025年9月にまで遡る一連のサプライチェーン侵害の最新事例です。当時、オリジナルのShai-Huludワームの登場がCISAの勧告を促し、世界で最も広く使われている開発者ツールの一部が被害を受け続けてきました。
最近の事例としては、3月のLiteLLMへの攻撃があり、サイバー犯罪者はAI採用企業Mercorを含む複数の組織への侵害に成功しました。LiteLLMへの攻撃に続いて、axiosJavaScriptライブラリを標的とした北朝鮮のハッカーによるとされる別の侵害の波も発生しました。
この一連の攻撃を受け、MandiantのCTO(最高技術責任者)であるCharles Carmakal氏は、「過去2週間で盗まれた認証情報が、今後数日、数週間、数カ月にわたって、さらなるソフトウェアサプライチェーン攻撃、SaaS環境の侵害、ランサムウェアや恐喝行為、暗号通貨窃盗を引き起こすことになる」と警告しました。
5月には、GitHubが従業員のデバイスを悪意のあるVisual Studio Code拡張機能を通じて侵害されたことを確認しました。TeamPCPは盗んだソースコードに対して50,000ドルを要求し、買い手が現れなければ無料で公開すると脅迫していました。
OpenAIも、オープンソースライブラリTanStackへのサプライチェーン攻撃に続き、同一の攻撃の波で従業員2人のデバイスが侵害されたと警告していました。
LiteLLMの侵害発覚時、SonatypeのシニアセキュリティリサーチャーであるAdam Reynolds氏は、「マルウェアが非常に幅広い認証情報を標的にしているため……これにより、時間の経過とともに波及していく二次・三次的な影響が生じる可能性があり、最初の侵害ポイントをはるかに超えた追加侵害、サービス障害、または機密データの悪用につながるおそれがある」と警告しました。
翻訳元: https://therecord.media/red-hat-removes-tainted-packages-after-software-pipeline-compromise
