GitGuardianによると、数百人のGitHubユーザーおよびリポジトリが新たなサプライチェーン攻撃の被害を受け、攻撃者はすでに3000件以上のシークレットを盗み出しています。
このセキュリティベンダーは、9月5日にFastUUIDプロジェクトに関連するGitHubリポジトリで不審な活動を最初に発見しました。
侵害されたメンテナーが3日前に悪意のあるコミットをプッシュしていました。これにはシークレット、特にPyPIトークンを盗むために設計されたGitHubアクションワークフローファイルが含まれていました。
「このトークンがあれば攻撃者はPyPI上のFastUUIDパッケージを侵害できたはずですが、侵害期間中に悪意のあるパッケージリリースが行われた証拠は見つかりませんでした」とGitGuardianは説明しています。
「最初の侵害から3日間、攻撃者が何もしなかったことから、FastUUIDは主な標的ではなかったことが示唆されました。我々の調査で、はるかに大規模な作戦が明らかになりました。」
GitHubの脅威についてさらに読む:パブリックGitHubリポジトリ経由で約1300万件のシークレットが漏洩。
さらに調査を進めた結果、同じ侵害されたユーザーと情報流出先に関連する、複数のリポジトリにまたがる数百件の類似した悪意のあるコミットが発見されました。合計で、817のリポジトリに所属する327人のユーザーがこのキャンペーンの被害に遭い、3325件のシークレットが流出したことが判明しました。GitGuardianはこのキャンペーンを「GhostAction」と名付けました。
このキャンペーンで盗まれたシークレットの中で最も多かったのは、DockerHubの認証情報、GitHubトークン、npmトークンでした。
対策が始まる
GitGuardianは迅速に被害ユーザーへ通知しました。影響を受けたリポジトリのうち100件は、すでに攻撃者による悪意のある変更が元に戻されているとし、残りの数百件は依然としてリスクが残っていると述べています。
「この情報公開により迅速な対策が促されました。被害を受けた開発者との初期のやり取りで、攻撃者が盗まれたシークレット(AWSアクセスキーやデータベース認証情報など)を積極的に悪用していることが確認されました」と説明しています。
「複数の企業では、SDKポートフォリオ全体が侵害され、悪意のあるワークフローがPython、Rust、JavaScript、Goのリポジトリに同時に影響を及ぼしていました。」
GitGuardianは9月5日にGitHub、npm、PyPIのセキュリティチームにこのキャンペーンを通知し、9つのnpmパッケージと15のPyPIパッケージが「今後数時間から数日以内に侵害されるリスクがある」と警告しました。
このキャンペーンは、最近の「S1ngularity」攻撃キャンペーンとは関連がないと考えられており、被害者の重複もありません。
翻訳元: https://www.infosecurity-magazine.com/news/ghostaction-supply-chain-3000/