別のもう一つの壊滅的なサプライチェーン攻撃が、ユビキタスな開発ツールの中心部を襲撃しました。今回は、デジタル悪党たちがCheckmarxのKICSプロジェクトのGitHub Actionに密かに悪意のあるコードを注入しました。KICSは通常、インフラストラクチャコードを検証するために展開される標準的なアーキテクチャです。この運動は恐ろしい速度で展開され、多くのバージョンに影響を与えました。その結果、その壊滅的な波及効果は当初に認識されたものよりもはるかに広大である可能性があります。
3月23日、UTC 12時58分から16時50分にかけて、攻撃者たちは狡猾にcheckmarx/kics-github-actionリポジトリ内の35個のアーキテクチャタグを置き換えました。これらのバージョンにリンクされた自動ビルドはすべて、知らないうちに有毒なスクリプトで感染させられました。警戒心のあるユーザーからの苦情の後、リポジトリは一時的に中止され、その後その問題が解決されたという宣言とともに復旧されました。
Wizのフォレンジック専門家によると、この攻撃の実行者たちはTeamPCPであり、それは最近Trivyに対する類似した運動を調整したのと同じシンジケートです。彼らの秘密の署名は明白なままです:攻撃者たちは同じRSA暗号鍵を使用し、タグ奪取に基づいた非常に類似した感染の演出を展開しました。
有毒なペイロードはsetup.shアーカイブにシームレスに挿入され、action.yaml設定ファイルは環境構築中にスクリプトの自動実行を保証するために悪意を持って改ざんされました。起動時、悪意あるプログラムは極めて機密性の高いテレメトリーを貪欲に盗みました:環境変数、SSH暗号鍵、クラウドサービスおよびKubernetesトークンです。GitHub Actions環境の一時的な範囲内では、実行中のプロセスの揮発性メモリから分類された秘密を直接流出させました。
盗まれた情報はその後暗号化され、攻撃者たちの独自のコマンドセンターcheckmarx.zoneにルーティングされました。この主要な流出ルートが失敗した場合、スクリプトは狡猾な代替案へと変更されました。それは被害者のアカウント内に新しいリポジトリを作成し、盗まれたテレメトリーで満たされたアーカイブをそこにアップロードしました。
その確立のアーキテクチャは深刻な精査を必要とします。Kubernetesクラスタ内では、有毒なコードはプリビレッジ付きポッドを編成しようとし、ビルド完了後も永続的なアクセスを確保しました。標準的なサーバでは、バックドアを持つ秘密のsystemdサービスを偽造し、それは絶えず新しい命令をリクエストしました。
同時に、フォレンジック専門家たちはOpenVSXカタログに潜む侵害された拡張機能を発見しました。具体的には、cx-dev-assist 1.7.0とast-results 2.53.0です。これらの侵害されたアーティファクトは、同じデータ搾取機能を持つ追加モジュールを呼び出しました。OpenVSXエコシステムとは異なり、公式Visual Studio Codeマーケットプレイス内に含まれるバージョンは完全にクリーンなままでした。
3月24日、攻撃のさらに別の不気味な側面が現れました。汚染されたlitellmパッケージ、バージョン1.82.7および1.82.8がPyPI上に潜んでいるのが発見されました。悪意あるコードは同じパラダイムの下で動作しましたが、流出ルートに異なるドメインを代用しました。これらの侵害されたパッケージはすぐさま厳密な隔離の対象となりました。
Checkmarxはこのインシデントの包括的なフォレンジック解剖を発表しました。しかし、これらのドキュメントが公開された時点で、特定のコンポーネントの有毒なバージョンはまだ警告するほどアクセス可能でした。
セキュリティの先導者たちは、KICSを組み込んだすべての運用ワークフローの厳密な監査を強く勧告しており、特にタグ参照を使用しているものに注意を向けています。侵害の可能性がある場合、すべての暗号鍵、トークン、および補足的なシークレットを直ちにローテーションし、docs-tpcpという名前の異常なリポジトリの突然の出現を含め、流出の足跡をしつこく調査することを熱く推奨されています。
このひどい状況は、開発ツールに対する運動的な攻撃が体系的な危険へと固まりつつあることを明確に示しています。神聖なセキュリティアーキテクチャさえも危険な侵入手段に変えられた場合、サプライチェーンの確固たる防御は避けられず、サイバーネティック戦場の絶対的な最前線へと上昇します。
