未確認の脅威アクターがTop.gg GitHub組織のメンバーや個々の開発者を標的に、複雑なサプライチェーンサイバー攻撃を実行した。攻撃者は信頼されたソフトウェア開発要素に侵入し、開発者を妥協させた。GitHubアカウントを盗まれたクッキーで乗っ取り、検証済みコミットを介して悪意のあるコードを提供し、偽のPythonミラーを設立し、PyPiレジストリに汚染されたパッケージをリリースした。
攻撃者は、公式のものに似せた偽のPythonミラー・ドメインを使用するタイポスクワッティング技術を駆使してユーザーを欺いた。Coloramaなどの人気Pythonパッケージを改ざんし、正当なソフトウェア内に悪意のあるコードを隠し、GitHubリポジトリを超えて影響範囲を拡大した。また、高評価のGitHub Top.ggアカウントを悪用して悪意のあるコミットを挿入し、その行動の信頼性を高めた。
攻撃の最終段階では、使用されたマルウェアが被害者から機密情報を盗み出す。Opera、Chrome、EdgeなどのWebブラウザー、Discordアカウント、暗号通貨ウォレット、Telegramセッションデータ、Instagramプロファイル情報が標的になった。盗まれたデータは、匿名ファイル共有サービスやHTTPリクエストを使用して攻撃者のサーバーに送信された。
攻撃者は、コード内で複雑な難読化技術を使用し、検出を回避した。しかし、Top.ggコミュニティの一部の警戒心のあるメンバーが悪意のある活動に気づき、報告した結果、Cloudflareが悪用されたドメインを取り下げた。それでも、CheckmarxのJossef Harush Kadouriは脅威が「アクティブ」であると見なしている。
開発者を保護するためには、ITセキュリティ専門家が新しいコードプロジェクトの貢献を定期的に監視・監査し、開発者にサプライチェーン攻撃のリスクについて教育と意識を高めることが重要である。サプライチェーン攻撃の進化は、ビルドパイプラインやAI、大規模言語モデルの増加に伴い、続くと予想される。
【ニュース解説】
未確認の脅威アクターが、Top.gg GitHub組織のメンバーや個々の開発者を標的にした複雑なサプライチェーンサイバー攻撃を実行しました。この攻撃は、信頼されているソフトウェア開発の要素に侵入し、開発者のアカウントを乗っ取り、悪意のあるコードを注入することで、開発者コミュニティ全体に影響を及ぼすことを目的としています。
攻撃者は、偽のPythonミラー・ドメインを使用してタイポスクワッティング技術を駆使し、ユーザーを騙して悪意のあるパッケージをダウンロードさせました。これにより、Coloramaなどの人気Pythonパッケージが改ざんされ、GitHubリポジトリを超えた広範な影響がもたらされました。さらに、高評価のGitHub Top.ggアカウントを悪用して悪意のあるコミットを挿入し、その行動の信頼性を高める手法も取られました。
攻撃の最終段階では、マルウェアを使用して被害者から機密情報を盗み出すことが目的でした。このマルウェアは、Webブラウザーのクッキーや自動入力データ、認証情報、さらにはDiscordアカウント、暗号通貨ウォレット、Telegramセッションデータ、Instagramプロファイル情報など、多岐にわたる情報を標的にしました。
このような攻撃は、コード内で複雑な難読化技術を使用し、検出を回避することが可能ですが、Top.ggコミュニティの一部の警戒心のあるメンバーが悪意のある活動に気づき、報告したことで、一部のドメインが取り下げられました。それにもかかわらず、この脅威は依然として「アクティブ」であるとの見解が示されています。
この事件は、開発者やITセキュリティ専門家にとって、新しいコードプロジェクトの貢献を定期的に監視・監査し、サプライチェーン攻撃のリスクについての教育と意識を高めることの重要性を改めて認識させるものです。また、サプライチェーン攻撃の進化は、ビルドパイプラインやAI、大規模言語モデルの増加に伴い、今後も続くと予想されます。このような状況下で、開発者コミュニティやセキュリティ専門家が協力し、オープンソースエコシステムを攻撃者から守るためのリソースを共有することが、より一層重要になってきます。
from GitHub Developers Hit in Complex Supply Chain Cyberattack.
