- GhostAction攻撃で327のGitHubアカウントから3,325件のシークレットが盗まれる
- GitGuardianが攻撃の停止と被害プロジェクトへの通知に貢献
- 別のNPM攻撃が2,000アカウントに被害を与えたが、関連性はなかった
PyPIやAWSキー、GitHubトークンなど数千件のシークレットが、GitHubを標的としたサプライチェーン攻撃「GhostAction」により最近盗まれました。この攻撃はセキュリティ研究者のGitGuardianによって発見され、GitHubに通知されて停止されました。
GitGuardianの研究者は、FastUUIDというGitHubプロジェクトが侵害されたという通知を受けて、最初にこの攻撃を発見しました。このプロジェクトの管理者アカウントが侵害され、「Add Github Actions Security workflow」という悪意のあるActionsワークフローを公開するために利用されていました。
このワークフローは、PyPI、npm、DockerHub、GitHub、Cloudflare、AWSなどからシークレットを盗むように設計されていました。
サーバーが停止
研究者たちは調査結果をPyPIに報告し、プロジェクトは読み取り専用状態に移行されました。その後すぐに、正規のアカウント所有者がアクセスを回復し、悪意のあるコミットを取り消しました。
しかし、攻撃者はその後数日間反応しなかったため、GitGuardianの研究者たちは、攻撃者が他のプロジェクトの侵害に忙しかったのだろうと結論付けました。そしてその推測は正しかったのです。さらに詳しく調査したところ、327のアカウントが侵害され、3,325件のシークレットが漏洩していたことが判明しました。
「影響範囲の評価後、私たちはすべての侵害されたリポジトリでIssueを作成することで、被害を受けたユーザーやプロジェクトに通知を始めました」とGitGuardianはレポートで説明しています。「影響を受けた817のリポジトリのうち、100はすでに悪意のある変更を元に戻していました。残りの717プロジェクトのうち573にはIssueを作成することに成功しましたが、他は削除されていたり、Issue機能が無効化されていました。」
GhostActionが発見された直後、シークレットが流出していたサーバーは名前解決できなくなり、このキャンペーンが無事妨害されたことを意味しています。
GitGuardianはまた、2,000以上のGitHubアカウントが侵害され、数千のアカウントトークンやリポジトリシークレットが漏洩したNPMのサプライチェーン攻撃「s1ngularity」についても通知を受けていました。両方の攻撃がほぼ同時期に発生したため、同じキャンペーンの一部ではないかと推測されました。しかし、調査の結果、これらは別々の事件であることが判明しました:
「この初期調査から、これらのユーザーと最近のS1ngularity攻撃キャンペーンの被害者との間に交差は見られませんでした。これら2つの事件はおそらく無関係です」と結論付けています。
