CodeBreach の脆弱性により、大規模なサプライチェーン攻撃が可能になっていた恐れがあると研究者らは警告している。
セキュリティ研究者が指摘したAWSコンソールの重大な脆弱性により、大規模なサプライチェーン攻撃につながっていた可能性があると、報告書 でWizが木曜日に発表した。
Wizによると、CodeBreachと名付けられたこの脆弱性により、攻撃者はAWSの中核となるGitHubリポジトリ――具体的にはAWSコンソールを支えるAWS JavaScript SDK――を乗っ取ることが可能になっていた恐れがある。このSDKはクラウド環境のおよそ3分の2にインストールされているという。
Wizの研究者は2025年8月にこの欠陥をAWSへ開示し、AWSは直ちに問題の是正に取り組んだ。Wizによれば、信頼できないビルドを防ぐために組織へ安全な手段を提供する「Pull Request Comment Approval」ビルドゲートの実装など、こうした攻撃を防止するための具体的な強化策が講じられた。
Wizの脆弱性研究者であるYuval Avrahamiによると、この問題はリポジトリのAWS CodeBuild CIパイプラインがビルドトリガーを処理する方法における微妙な欠陥に関連していた。Regexフィルターに2文字が欠けているだけで、認証されていない攻撃者がビルド環境を侵害し、その後コードリポジトリを乗っ取れる可能性があったという。
「リポジトリを掌握できれば、攻撃者はSDKにバックドアを注入して認証情報を収集し、それを利用する数百万のアプリケーションから機密データを持ち出したり、AWSコンソール自体を標的にしてクラウドインフラを操作したりできた可能性があります」とAvrahamiはメールでCybersecurity Diveに語った。「世界中のAWSユーザーに影響する、プラットフォーム全体の侵害へと発展していた可能性もあります」
研究者らは、Amazon QのVS Code拡張機能に対するサプライチェーン攻撃の試みを受けて、この特定の問題を調査した。その問題は2025年7月のアドバイザリで対処された。現時点で、この設定ミスが攻撃に利用された証拠はない。
Wizの研究者は、この脆弱性が2025年8月に発生したNx S1ngularityのサプライチェーン攻撃と同様のリスクをもたらすと述べた。この攻撃では、Nxビルドシステムのパッケージの悪意あるバージョンが公開された。
ユーザーが直ちに取るべき対応はないが、Wizの研究者は、各CodeBuildプロジェクトごとに固有のパーソナルアクセストークンを作成することを推奨している。また、前述のPull Request Comment Approvalビルドゲートを有効化すべきだとしている。
