6月5日、GitHubの自動不正利用検知システムが、Microsoftの主要4組織にまたがる73のリポジトリを突如無効化しました。影響を受けた組織は、Azure、Azure Samples、Microsoft、Microsoft Docsです。
この大規模な停止措置は、わずか105秒という異例の短時間で実行されており、手動による管理作業ではないことは明らかです。無効化されたリポジトリにはすべて、利用規約違反によりアクセスが削除された旨のバナーが表示されています。
この迅速かつ自動化された執行措置は、GitHubの防御システムを作動させる大規模なセキュリティインシデントが発生したことを示唆しています。
最も深刻な影響を受けたのはAzure組織で、Functionsチームの中核をなす49のリポジトリが失われました。
この停止措置により、コアランタイムツール、Python・Java・Node.js向けの言語ワーカー、そしてAIエージェント製品ライン全体が一掃されました。
Kafka、OpenAI、RabbitMQといったサービスを接続する重要なエコシステム拡張機能も、この自動スイープに巻き込まれています。
Azure-Samplesでは13のリポジトリが失われ、その大半がAIデモやマルチエージェントワークフロー関連のものでした。今回の執行措置は、侵害を受けた特定チームを狙い撃ちにするのではなく、組織と所有権を基準に広範囲に及ぶものでした。
リポジトリの突然の削除は、世界中のソフトウェア開発者に即座に混乱をもたらしました。特に深刻な損失は、世界各地の継続的インテグレーションパイプラインにおけるデプロイメントを支えるfunctions-actionリポジトリの消失です。
多くの開発者が特定バージョンを固定せず浮動的な@v1タグに依存しているため、ソースコードが消えた途端に自動化ワークフローが完全に機能しなくなりました。
Microsoft社員は当初、内部管理上の問題について矛盾した説明を繰り返した後、顧客に対してGitHub Actionsの一時的な使用中止を勧告しました。
セキュリティ研究者たちは、今回の停止措置がMiasmaと呼ばれる急速に変異するサプライチェーン脅威と関連しているとみています。6月1日に公開されたMiasmaは、以前Red Hatパッケージに感染したMini Shai-Huludマルウェアツールキットの高度な派生版です。
この新しい亜種はAzureおよびGoogle Cloudの開発環境を標的とし、Azure CLIの認証キャッシュやマネージドIDトークンを積極的に探索してエンタープライズインフラへの侵害を試みます。
このマルウェアは、Microsoftのリポジトリ停止で見られた症状と完全に一致する自動化技術を使って拡散します。
Miasmaは「Miasma: The Spreading Blight」などのタイトルで無断の公開GitHubリポジトリを作成し、盗み取った認証情報をJSONファイルとして直接被害者のアカウントにコミットします。
この攻撃的かつ自動化された大量のリポジトリ作成こそ、GitHubの自動不正利用検知機構を作動させる異常な挙動そのものです。
Miasmaとの直接的な関連は状況証拠にとどまるものの、新たなAzureコレクターを備えた認証情報窃取ワームが主要な容疑として浮上しています。
オープンソースマルウェア研究によると、今回のインシデントはMicrosoftのDurable Taskエコシステムに関わる以前のセキュリティ侵害の傷を再び開かせるものでもあります。
5月には、TeamPCPと呼ばれる攻撃者が盗み取ったGitHub Actionsのシークレットを悪用し、公式のAzure Durable Taskソフトウェアの悪意あるバージョンをPyPIにアップロードしました。
そして今回、Durable Taskファミリーのリポジトリ全体が、Microsoft組織全体にわたる最新のスイープで無効化されています。
先月の侵害の震源地が今月の停止措置にも深く関与しているという事実は、最初の攻撃者がアクセス権を完全には失っていなかった可能性を強く示唆しています。
翻訳元: https://cyberpress.org/microsoft-packages-spread-stealer/
