Boost Securityは、SmokedMeatをリリースしました。これはCI/CDインフラストラクチャに対して攻撃チェーンを実行するオープンソースフレームワークで、エンジニアリングとセキュリティチームが、攻撃者が自分たちの特定の環境で何をするかを見ることができます。
ツールの機能
SmokedMeatは、フラグが付けられたパイプラインの脆弱性を取得し、チームの独自のインフラストラクチャに対してライブデモンストレーションを実行します。単一の脆弱性から始めて、ペイロードをデプロイし、ランナーに侵入し、プロセスメモリから認証情報を収集し、それらの認証情報をクラウドアクセスと交換し、プライベートリポジトリを露出し、攻撃のブラスト半径をマップします。
Zaid Al Hamami氏(Boost SecurityのCEO)は、その概要を説明しました。「このツールは、攻撃者が何ができるかを示しています。オープンソースリポジトリの脆弱性を見つけ、エクスプロイトペイロードを作成し、そのリポジトリから認証情報を盗み、それらの認証情報を使用して他の領域にピボットし、マルウェアを挿入し、これらのリポジトリで作業している開発者に感染させることができます。」
会話を変えたTeamPCP攻撃
2026年3月、TeamPCPとして知られる協調したキャンペーンが、Trivy、Checkmarx、LiteLLMおよび数十のnpmパッケージに侵入しました。この攻撃は、Boost Labsが以前の研究で文書化した技術を使用しました。BoostのオープンソーススキャナーであるPoutineは、攻撃の数ヶ月前にTrivyのパイプラインの脆弱性にフラグを付けていました。これらの調査結果は修正されませんでした。Al Hamami氏は、このキャンペーンをこれまでで最大のカスケード供給チェーン攻撃と説明しました。
バックログの問題
Boost Labsは、CI/CD攻撃技法に関する研究を何年も出版してきており、攻撃者がビルドパイプラインをどのように移動し、認証情報を盗み、クラウド環境にピボットするかを文書化しています。「ワークフロー注入が可能」とフラグを立てる静的スキャン結果は、攻撃者がその注入を使って数秒のうちに何ができるかを伝えていません。具体的なデモンストレーションがなければ、修復作業は優先順位が低いままになる傾向があります。
SmokedMeatは、実際のインフラストラクチャに対して攻撃シナリオを実行することによってそのギャップを埋めるように設計されており、セキュリティチームとエンジニアリングリーダーに、彼ら自身の環境でエクスプロイテーションがどのように見えるかについての具体的なビューを提供します。
SmokedMeatはGitHubで無料で利用できます。
翻訳元: https://www.helpnetsecurity.com/2026/04/20/smokedmeat-ci-cd-pipeline-attacks/
