TokyoBlackHatNews

bleepingcomputer.com 5分で読了

GitHubがパスワード窃取マルウェアを配布するMicrosoftリポジトリを無効化

MicrosoftはGitHub上のAzure、microsoft、Azure-Samples、MicrosoftDocsといった各組織にまたがる73のリポジトリを削除し、継続的インテグレーション(CI)パイプラインに障害が発生しました。

この事案は6月5日に発生し、わずか105秒以内に封じ込められました。Microsoftは削除の理由についてBleepingComputerに対し、「潜在的な悪意のあるコンテンツ」を配布していた可能性への懸念によるものだと説明しました。

複数の研究者が、Miasma/Shai-Huludサプライチェーン攻撃キャンペーンによる侵害を受けてリポジトリが削除されたことを確認しています。

OpenSourceMalwareプラットフォームによると、GitHubのMicrosoft Azure組織内のリポジトリ「durabletask」は5月に侵害されており、不完全なクリーンアップによって脅威アクターが新たな侵害を実行できる状態にあったと指摘しています。ただし、この点はまだ確認されていません。

リポジトリが削除された直後、「GitHubの利用規約違反」を理由にGitHubスタッフが措置を講じたことを説明するメッセージが表示されました。

Microsoftの担当者はコミュニティの議論でユーザーの懸念に回答し、リポジトリが無効化されたのは「内部管理上の問題」によるものであり、現在調査を進めていると説明しました。

この事案による最も大きな直接的影響は、多くの開発者がAzure Functionsのデプロイに使用しているGitHub Actionの「Azure/functions-action」へのアクセスが遮断されたことです。

このActionを参照するワークフローは動作しなくなり、指定されたリポジトリにActionを解決するものが存在しなくなったため、障害と混乱が生じました。

ただし、本稿執筆時点ではすべてのリポジトリが復元されており、クリーンで安全に使用できる状態とされています。

一方、OpenSourceMalwareプラットフォームによれば、Python Package Index(PyPI)上の「durabletask」パッケージは5月に侵害されており、脅威アクターによって3つの悪意あるバージョン(1.4.1、1.4.2、1.4.3)がプッシュされていたとのことです。

BleepingComputerへの声明の中で、Microsoftの広報担当者は「潜在的な悪意のあるコンテンツを調査する過程で、一部のリポジトリを一時的に削除した」と説明しました。

すべてのリポジトリは復元されましたが、Microsoftは「影響を受けたリポジトリからコンテンツをダウンロードした可能性のある少数の顧客に通知した」としています。

「引き続き調査を進め、顧客対応が必要な事項が新たに判明した場合は、既存のサポートチャネルを通じて直接連絡する」とMicrosoftの広報担当者は述べています。

セキュリティエンジニアのAdnan Khan氏は、6月5日にMicrosoftのリポジトリに影響を与えた事案は、Red HatのnpmパッケージをはじめとするRed Hatの32件のnpmパッケージに感染したMiasmaマルウェアキャンペーンの一環である可能性があると指摘しています。

今週発表されたレポートの中で、ソフトウェアサプライチェーン管理企業のCloudsmithは、GitHubにおけるMicrosoftのAzure環境と「durabletask」リポジトリがMiasmaを通じて侵害されたと結論付けました。MiasmaはAIコーディングツール(Claude Code、Gemini CLI、VS Code、Cursorなど)を標的としていました。

攻撃者はRed HatのnpmパッケージからMicrosoftのGitHubリソースへと攻撃対象を移しました。

「このワームは最初に、Red Hat従業員のGitHubアカウントを侵害することで、@redhat-cloud-servicesのnpm名前空間を攻撃しました。脅威アクターはレビューされていないオーファンコミットを内部リポジトリにプッシュすることで、GitHubのOIDCトークンを要求する最小限のワークフローを注入しました」と研究者らは述べています。

サプライチェーン攻撃はオープンソースエコシステムを標的にし続けています。昨日、アプリケーションセキュリティ企業のSocketは、週末に新たなShai-Hulud攻撃を発見したと報告しており、その攻撃は新たな配信メカニズムに依拠していました。

StepSecurityは、GitHubスター数3万3,700以上、フォーク数3,500以上を誇る人気のオープンソースAI開発ツール「Pythagora-io/gpt-pilot」に対するShai-Hulud攻撃に焦点を当てた別のレポートを公開しました。

ソフトウェア開発者は、プロジェクトの依存関係をロックすること、新しいパッケージアップデートの取得に数日間の時間的遅延を設けること、そして新しいビルドを隔離された環境でテストすることを検討すべきです。

攻撃者より先に、すべてのレイヤーをテストする

セキュリティチームが記録している攻撃成功率は54%に過ぎず、アラートが上がるのはわずか14%です。残りは検知されることなく環境内を動き回っています。

PicusのホワイトペーパーでBAS(侵害・攻撃シミュレーション)がSIEMとEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかをご確認ください。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/github-disables-microsoft-repos-pushing-password-stealing-malware/

ソース: bleepingcomputer.com
#Azure #GitHub #Miasma #Microsoft #npm #PyPI #オープンソースセキュリティ #サプライチェーン攻撃 #マルウェア #資格情報窃取

関連記事

XBOWによるAnthropicのMythos Preview攻撃的セキュリティ評価レポート

VeeamのバックアップサーバーをRCE攻撃にさらす新たな脆弱性

フランス政府メッセージングサービス、アカウント乗っ取り攻撃で侵害される