サプライチェーン攻撃を専門とするハッカーチームであるTeamPCPは最近、コードホスティングプラットフォームGitHubのコアソースコードと内部組織構造情報を販売すると主張するコマーシャルを公開した。ハッカーグループは、この取引は脅迫ではなく、独占的な直接販売だったと主張した。もちろん、たとえ GitHub を脅迫していたとしても、データの機密性と引き換えにハッカーに身代金を支払う可能性は低いでしょう。
TeamPCP はサンプル データを提供しておらず、ソース コード リポジトリと関連スクリーンショットを含むディレクトリのみを示していることに注意してください。 GitHub 関係者は実際に攻撃を受けたことを認めているため、有能なハッカーはわざわざサンプルを提供しないとしか言えません。事前調査の結果、約3,800の内部リポジトリがハッカーによって盗まれたことが確認された。
複数のコア機能を含むソース コード リポジトリ:
ハッカーが公開したディレクトリとスクリーンショットから判断すると、ハッカーが盗んだデータには、GitHub Copilot、GitHub Enterprise Server、Red Team などの GitHub の複数のコア機能のソース コード リポジトリに加え、脆弱性管理、リスク レポート、グラフィカル ユーザー インターフェイスでのクロスサイト スクリプティング攻撃の軽減パッチ リポジトリが含まれています。さらに、GitHub の運用や内部通信のための論理チャネルなどのリポジトリも盗まれました。
圧縮パッケージ名の一部:
raycast-github-copilot.tar.gz
chiedo-copilot-cli-skills.tar.gz
github-enterprise-server-release-notifier.tar.gz
github-security-risk-reporting.tar.gz
レッドチーム.tar.gz
github-ui-xss-hardening-research.tar.gz
github-india.tar.gz
リポ-カスタム-クレーム-chatops.tar.gz
GitHub は調査の結果、データ侵害を確認しました。
GitHubは予備調査の結果、データ漏洩を確認した。攻撃の原因は、GitHub 従業員によってインストールされた悪意のあるコードを含む Visual Studio Code 拡張機能でした。この拡張機能は TeamPCP ワームの被害者である可能性が高く、拡張機能の開発者も攻撃されました。その後、ハッカーは盗んだ認証情報を使用して、悪意のあるコードを含むバージョンを公開しました。より多くの開発者が拡張機能の悪意のあるバージョンをインストールすると、その資格情報も盗まれます。
この脅威を検出した後、GitHub は直ちに拡張機能の悪意のあるバージョンを削除し、従業員のデバイスを隔離しました。緊急措置として、GitHub は影響を受ける可能性のあるすべての主要な認証情報を直ちにローテーションしました。ただし、ワームの潜在的な脅威を考慮すると、GitHub は、ワームが他のシステムに感染してさらなる認証情報を盗むことを防ぐために、ログの分析とその後のアクティビティの監視を継続する必要もあります。
最後に、GitHub は、約 3,800 の内部ソース コード リポジトリが盗まれたことを確認しました。 GitHub はその後、詳細なセキュリティ調査レポートをリリースして、その経験を共有する予定です。