セキュリティ専門家によると、マイクロソフトのGitHubは10万以上のGitHubリポジトリが感染しており、攻撃を受けている。
知っておくべきこと
- サイバーセキュリティ企業のApiiroは、GitHubが数千人に影響を与える可能性のある大規模な攻撃を受けたと報告した。
- この攻撃では、安全でクリーンなリポジトリを複製し、悪意のある難読化されたコードを追加して、再アップロードします。
- GitHub は悪意のあるリポジトリを削除しようとしていますが、すべてを追跡することはできないようです。
Apiirorによる最近のレポートによると、セキュリティ研究チームとデータサイエンスチームは大規模な攻撃を発見しました。Apiiroはこれを「悪意のあるリポジトリ混乱キャンペーン」と呼んでいます。Apiiroチームは、10万以上のGitHubリポジトリが影響を受けており、数百万に及ぶ可能性もあると推定しています。残念ながら、GitHubが悪意のある攻撃者に利用されているという報告は今回が初めてではありません。数か月前には、GitHubがランサムウェアの実行を容易にし、さらにはランサムウェア攻撃用のコマンド&コントロールチャネルを作成するために利用されているという事例について解説しました。
これらの攻撃はそれほど複雑ではなく、阻止するのも難しくありません。問題は、攻撃が非常に驚くべきペースで発生しており、GitHub が対応に苦労しているように見えることです。
リポジトリ混乱攻撃とは何ですか?
GitHub などのアカウントとリポジトリの自動生成の容易さ、使いやすい API の使用、簡単に回避できるソフト レート制限、そして隠れるべきリポジトリの膨大な数の組み合わせにより、ソフトウェア サプライ チェーンに密かに感染するための完璧なターゲットが作られます。
アピイロ
GitHubリポジトリは、GitHubユーザーがコードをアップロードして世界中のユーザーと共有できる場所です。非常に人気のあるリポジトリは、多くの人が検索し、ダウンロードすることがよくあります。水飲み場型攻撃では、攻撃者は人気のある良質なリポジトリをダウンロードし、悪意のあるコード(「7層」「eep」「ac」「ord」「ng」)をAPIに追加して、同じ名前でGitHubに再アップロードします。そして、ソーシャルメディア、Discord、その他の手段を通じて、標的のユーザーに偽のリポジトリを拡散します。これらの特徴は、サイバーセキュリティにおいて非常に一般的な水飲み場型攻撃を示唆しています。
水飲み場型攻撃とは、サイバー攻撃者がユーザーグループを標的とし、彼らが頻繁に訪れるウェブサイトを感染させる攻撃です。攻撃者は、ユーザーがこれらの侵害されたウェブサイトにアクセスするまで辛抱強く待ち、悪意のあるウェブサイトにリダイレクトすることでコンピュータを感染させ、組織のネットワークへのアクセスを許可します。
攻撃者は悪意のあるリポジトリを再アップロードすると、自動化技術を用いて何千回もフォークを繰り返します。この戦術は広く用いられています。数年前、ある有名アーティストの話題の音楽アルバムを思い出しました。多くの人がTorrent経由でダウンロードしようとしたのです。しかし、流通していたファイルは悪意のあるもので、多くの人がデータを失うことになりました。
GitHub の悪意のあるリポジトリはどのようにして PC に感染するのでしょうか?
画像
1
の
3
GitHub 上の悪意のあるコードの例です。悪意のあるコードは画面に表示されないように右端に押し出されています。
Apiiro や他のサイバー セキュリティ企業はこれをサプライ チェーン攻撃と呼んでいますが、技術的にはその通りかもしれませんが、GitHub はかろうじてサプライ チェーンの要件を満たしていると思います。
サプライチェーン攻撃とは、信頼できるサードパーティベンダーやサプライヤーを標的としたサイバー攻撃です。Crowdstrikeによると、「ソフトウェアに悪意のあるコードを挿入したり、ハードウェアコンポーネントを侵害したりして、企業のネットワークやデータに不正アクセスする」ことが目的です。
Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。
通常、サプライ チェーンは、企業の環境で使用される可能性のあるコードをホストする Web サイトではなく、インフラストラクチャにアクセスできるサードパーティのベンダーまたはサプライヤーから提供される必要があります。
これらの攻撃はコードを難読化し、主にPythonを用いて攻撃を実行します。ペイロードが配信され脆弱性が悪用されると、コードはBlackCap Grabberを使用して標的上でアクションを実行し、盗んだ情報をコマンド&コントロールサーバーに送信します。悪意のあるGitHubリポジトリをダウンロードすると、これらの情報が盗まれたり、PC上で実行される可能性があります。
- ブラウザのパスワード、Cookie、閲覧履歴
- システム情報
- Steam、MetaMask、Exodusなどのアプリやツールからのログイン資格情報
- また、TokenProtectorを回避しようとするだろう
- Windows のクリップボードを乗っ取って暗号通貨のアドレスを変更し、その内容を攻撃者のウォレット アドレスに置き換える (その他の機能)
GitHub を安全にするために Microsoft は何ができるでしょうか?
報告書によると、「GitHub に通知され、悪意のあるリポジトリのほとんどは削除されましたが、キャンペーンは継続しており、サプライ チェーンに悪意のあるコードを挿入しようとする攻撃がますます蔓延しています。」
この攻撃は2023年5月に開始されましたが、指数関数的に拡大しています。この攻撃はモグラ叩きのような状況で、GitHubはコードがアップロードされた後、あるいは手遅れになってから検出を試みざるを得なくなる可能性があります。このような攻撃が続くと、ますます多くのユーザーが感染する可能性があります。
GitHubを頻繁に利用している方なら、MicrosoftとGitHubに頼って安全を確保できるとは限らないでしょう。例えば、自分のPCが感染していないか確認したいとします。Apiiroは、検出された悪意のあるファイルの一部を示すVirusTotalのグラフを公開しています。しかし、これらのファイルが自分のPCに存在しないか確認しようとすると、非常に時間がかかります。
PC 環境で次のコード文字列に一致する Python パターンを探します。
- exec(フェルネット
- exec(リクエスト
- exec(_ _import
- exec(バイト
- exec(“””\nimport
- 実行(コンパイル
- _ _import_ _(“組み込み”).exec(
メインPCを保護するには、サンドボックス内でコードを実行するのがベストプラクティスです。ソーシャルメディアプラットフォームや暗号通貨ウォレットと通信するコードがないか確認してください。Microsoftがこの問題に対処するまで、GitHubからコードをダウンロードする際は注意してください。
GitHub は、Microsoft が直面している唯一のサイバーセキュリティの問題ではありません。
AIが広く統合されている時代において、マイクロソフトは外部への展開に先立ち、社内セキュリティ対策を優先する絶好の機会を迎えています。AIの進歩にもかかわらず、サイバー脅威に対する最前線の防御において、人間のアナリストやエンジニアが不可欠であることは依然として明白です。サイバーセキュリティを取り巻く環境が進化するにつれ、この分野への参入に関心のある方々にとって、当社のサイバーセキュリティスターターガイドのようなガイダンスが役立つかもしれません。
マイクロソフトは最近、サイバーセキュリティ対策担当者のパフォーマンス向上を謳うツール「Security Copilot」をリリースしました。しかし、その効果は主に顧客エンゲージメントにかかっており、顧客サービスへの投資が最小限であることで知られるマイクロソフトの特徴である、顧客中心主義的なアプローチを反映しています。この精神はサイバーセキュリティにも及んでいるようで、パッチチューズデーなどの定期的なメンテナンスやアップデートにもかかわらず、マイクロソフトの取り組みは主に事後対応的なものにとどまっているように見えます。
マイクロソフトの子会社であるGitHubは、ハッカーによって巧妙に悪用されており、同社がAIを防御に活用できるかどうか疑問視されています。しかし、マイクロソフトがOS、サーバー、そしてGitHubのような子会社を含むシステムを強化できれば、世界的な侵害インシデントを大幅に削減し、すべての関係者に利益をもたらすことができます。
コルトンは、Windows Centralの読者とテクノロジーへの情熱を共有したいと願う、経験豊富なサイバーセキュリティ専門家です。最新のゼロデイ攻撃から企業を守る活動や、記事を通して自身の考えを発信する活動に携わっていない時は、家族と過ごしたり、PCやXboxでビデオゲームを楽しんだりしています。コルトンは購入ガイド、PC、デバイスの執筆に注力しており、新興テクノロジーやゲームのニュースについて話し合うことを常に歓迎しています。