GitHub は、従業員の 1 人が悪意のある VS Code プラグインをインストールした後、約 3,800 の内部リポジトリが侵害されたことを確認しました。
その後、同社は名前のないトロイの木馬プラグインを VS Code マーケットプレイスから削除し、侵害されたデバイスを保護しました。
「昨日、我々は毒されたVS Code拡張機能を含む動作中のデバイスの侵害を特定し、封じ込めた。我々は悪意のある拡張機能バージョンを削除し、エンドポイントを隔離し、直ちにインシデントへの対応を開始した」と同社は述べた。
「私たちの現在の評価では、この活動には内部 GitHub リポジトリのみのフィルタリングが含まれていました。攻撃者の現在の主張である 3,800 のリポジトリは、これまでの私たちの調査と方向的に一致しています。」
これは、GitHubが火曜日の夜、BleepingComputerに対し、内部リポジトリへの不正アクセスの疑惑を調査していると述べ、影響を受けるリポジトリの外部に保存されている顧客データが影響を受けたという証拠はないと付け加えた後の発言となった。
GitHubはまだ侵害の原因を明らかにしていないが、ハッカーグループTeamPCPは火曜日、ハッキングされたサイバー犯罪フォーラムでGitHubのソースコードと「約4,000のプライベートコードのソース」へのアクセスを主張し、盗まれたデータに対して少なくとも5万ドルを要求した。
「いつものように、身代金ではありません。購入者 1 である Github を脅迫することは気にしません。データはこちら側でシュレッダーにかけました。退職が近いようですので、購入者が見つからない場合は無料で漏洩します」とサイバー犯罪者らは述べた。 「興味があれば、以下のメディアにオファーを送ってください。50,000 未満には興味がありません。最も良いオファーが獲得されます。」
TeamPCP はこれまで、GitHub、PyPI、NPM、Docker などの開発者コード プラットフォームをターゲットとした大規模なサプライ チェーン攻撃に関連しており、最近では「Mini Shai-Hulud」サプライ チェーン キャンペーン (OpenAI 従業員 2 人にも影響を与えた) に関連しているとされています。
VS Code 拡張機能は、VS Code Marketplace (Microsoft のコード エディターの公式アドオン ストア) からインストールして機能を追加したり、エディターにツールを統合したりできるアドオンです。
トロイの木馬の VS Code 拡張機能が市場で観察されたのはこれが初めてではなく、過去数年間に数百万回インストールされた他のいくつかの悪意のある拡張機能が主要な資格情報やその他の機密データを盗むために使用されてきたためです。
たとえば、昨年は 900 万件インストールされた VSCode 拡張機能がセキュリティ リスクを回避しましたが、さらに 10 件が正規の開発ツールを装ってユーザーを XMRig クリプトマイナーに感染させました。
今年後半、WhiteCobra という名前の脅威アクターが 24 個の暗号通貨を盗む拡張機能を大量に送り込んだ後、基本的なランサムウェア機能を備えた悪意のある拡張機能が VS Code 市場に忍び込みました。
つい最近の 1 月には、AI ベースのコーディング支援を宣伝する 2 つの悪意のある拡張機能が 150 万回インストールされ、侵害された開発者システムから中国のサーバーにデータが漏洩しました。
GitHub のクラウドベースのプラットフォームは現在、400 万を超える組織 (Fortune 100 の 90% を含む) と 4 億 2,000 万以上のコード リポジトリに貢献する 1 億 8,000 万人以上の開発者によって使用されています。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
Leave a Reply