未確認の攻撃者が複数の開発者およびTop.gg(Discordボット発見サイトに関連するGitHub組織アカウント)を含む複数のアカウントに対して、供給チェーン攻撃を実施した。この攻撃では、盗まれたブラウザのクッキーを通じたアカウント乗っ取り、検証済みコミットを用いた悪意のあるコードの投稿、カスタムPythonミラーの設定、PyPIレジストリへの悪意のあるパッケージの公開など、複数の手法が使用された。この攻撃により、パスワード、認証情報、その他の貴重なデータが盗まれた。
攻撃者は、公式のPyPIドメイン「files.pythonhosted[.]org」の巧妙なタイポスクワット「files.pypihosted[.]org」を設定し、そこにトロイの木馬化された有名なパッケージのバージョンをホストした。Cloudflareはその後、このドメインを削除した。攻撃者は、月間1億5000万回以上ダウンロードされる人気ツール「Colorama」をコピーし、悪意のあるコードを挿入して、この偽のミラーにホストした改変版を広めた。
この偽のパッケージは、GitHubリポジトリを介して拡散され、一部のリポジトリは現在も活動中である。また、Top.ggのpython-sdkに関連するrequirements.txtファイルも攻撃の一環として変更されたが、この問題はリポジトリの保守者によって対処された。「editor-syntax」というアカウントは、Top.ggのGitHub組織の正当な保守者であり、Top.ggのリポジトリへの書き込み権限を持っていたが、悪意のあるコミットを行うために、この検証済みアカウントが乗っ取られた可能性がある。
この攻撃キャンペーンは、PyPIやGitHubのような信頼できるプラットフォームを通じてマルウェアを配布するために悪意のあるアクターが採用する洗練された戦術の一例であり、信頼できるソースからでもパッケージやリポジトリをインストールする際には警戒が必要であることを示している。依存関係を徹底的に検証し、不審なネットワーク活動を監視し、堅牢なセキュリティ実践を維持することが、このような攻撃の被害に遭うリスクを軽減するために重要である。
【ニュース解説】
未確認の攻撃者が複数の開発者およびTop.gg(Discordボット発見サイトに関連するGitHub組織アカウント)を含む複数のアカウントに対して、供給チェーン攻撃を実施しました。この攻撃では、盗まれたブラウザのクッキーを通じたアカウント乗っ取り、検証済みコミットを用いた悪意のあるコードの投稿、カスタムPythonミラーの設定、PyPIレジストリへの悪意のあるパッケージの公開など、複数の手法が使用されました。この攻撃により、パスワード、認証情報、その他の貴重なデータが盗まれました。
攻撃者は、公式のPyPIドメイン「files.pythonhosted[.]org」の巧妙なタイポスクワット「files.pypihosted[.]org」を設定し、そこにトロイの木馬化された有名なパッケージのバージョンをホストしました。Cloudflareはその後、このドメインを削除しました。攻撃者は、月間1億5000万回以上ダウンロードされる人気ツール「Colorama」をコピーし、悪意のあるコードを挿入して、この偽のミラーにホストした改変版を広めました。
この偽のパッケージは、GitHubリポジトリを介して拡散され、一部のリポジトリは現在も活動中です。また、Top.ggのpython-sdkに関連するrequirements.txtファイルも攻撃の一環として変更されましたが、この問題はリポジトリの保守者によって対処されました。「editor-syntax」というアカウントは、Top.ggのGitHub組織の正当な保守者であり、Top.ggのリポジトリへの書き込み権限を持っていましたが、悪意のあるコミットを行うために、この検証済みアカウントが乗っ取られた可能性があります。
この攻撃キャンペーンは、PyPIやGitHubのような信頼できるプラットフォームを通じてマルウェアを配布するために悪意のあるアクターが採用する洗練された戦術の一例であり、信頼できるソースからでもパッケージやリポジトリをインストールする際には警戒が必要であることを示しています。依存関係を徹底的に検証し、不審なネットワーク活動を監視し、堅牢なセキュリティ実践を維持することが、このような攻撃の被害に遭うリスクを軽減するために重要です。
この事件は、ソフトウェアの供給チェーン攻撃がいかに巧妙で、広範囲にわたる影響を及ぼす可能性があるかを示しています。開発者や組織は、使用する外部コードやライブラリの安全性を確認するために、より一層の注意を払う必要があります。また、セキュリティ対策を強化し、不正アクセスやデータ漏洩を防ぐための対策を講じることが求められます。このような攻撃は、個人情報の盗難や機密情報の漏洩につながるだけでなく、信頼性の低下や経済的損失を引き起こす可能性があります。したがって、ソフトウェア開発とセキュリティの実践において、常に警戒を怠らないことが重要です。
from Hackers Hijack GitHub Accounts in Supply Chain Attack Affecting Top-gg and Others.
