GitHub のサプライチェーン攻撃:Top.gg アカウントを悪用してマルウェアを展開

GitHub Developers Hit in Complex Supply Chain Cyberattack

2024/03/25 DarkReading — 正体不明の脅威グループが、Top.gg の GitHub のメンバーや開発者たちに対して高度なサプライチェーン攻撃を展開し、このコード・エコシステムに悪意のコードを注入していることが明らかになった。攻撃者は、信頼されているソフトウェア開発要素に侵入することで、開発者たちを侵害していく。彼らは、盗んだクッキーで GitHub アカウントを乗っ取り、検証済みのコミットを通じて悪意のコードを投稿し、偽の Python ミラーを確立し、PyPI レジストリに汚染されたパッケージを公開する。


Checkmarx の Head of Software Supply Chain Security である Jossef Harush Kadouri は、「攻撃者たちは、複数の TTPs (戦術/技術/手順) を使用することで、洗練された攻撃を展開すると同時に検知の回避し、悪意のアクションの成功率を高め、防御の取り組みを混乱させている」と述べている。

Checkmarx の研究者たちは、「攻撃者はユーザーを欺くために、公式を装う偽の Python ミラードメインを用いて、説得力のある typosquatting テクニックを展開した」と、ブログで述べている。

この攻撃者は、Colorama などの人気の Python パッケージを改ざんすることで、正規のソフトウェアを装いながら悪意のコードを隠し持ち、GitHub のリポジトリ以外にも攻撃範囲を広げていた。

さらに攻撃者は、170,000 人のメンバーを擁する、評判の高い GitHub の Top.gg アカウントを悪用することで、自分たちの行動に対する信頼性を高め、悪意のコミットを挿入していた。

データの窃盗

攻撃の最終段階において、この攻撃者は、マルウェアを用いて機密情報を盗み出している。このマルウェアは、Opera/Chrome/Edge などの Web ブラウザを含む、一般的なユーザー・プラットフォームをターゲットにして、クッキー/自動入力データ/認証情報などを窃取する。さらに、このマルウェアは、Discord アカウントの一掃と、解読したトークンの悪用により、同プラットフォーム上の被害者のアカウントへの、不正アクセスも可能にする。

さらに、このマルウェアは、被害者の暗号通貨ウォレット/Telegram セッションデータ/Instagram プロフィール情報を盗むことも可能にする。それらのデータ窃取のシナリオにおいて攻撃者は、被害者のセッション・トークンを用いてアカウントの詳細を取得し、キーロガーによりキー入力をキャプチャし、パスワードや個人的なメッセージを危険にさらす可能性がある。

このような攻撃で盗まれたデータは、匿名ファイル共有サービスや、HTTP リクエストなどの手法を介して、攻撃者のサーバへと流出していく。その後に攻撃者は、独自の識別子を利用して、それぞれの被害者を追跡していく。

攻撃者は検知を回避するために、コード内に空白を埋め込み、また、誤解を招く変数名などを用いるという、複雑な難読化技術を採用している。彼らは、永続化メカニズムを確立し、システム・レジストリを変更することで、さまざまなソフトウェア・アプリケーションからデータを窃取していた。

Checkmarx によると、Top.gg のコミュニティ内の警戒心の強い メンバーが、攻撃者の巧妙な手口と悪質な行為に気づいて報告したことで、Cloudflare は悪用されたドメインを削除したという。しかし Checkmarx の Kadouri は、この脅威を “アクティブ” であると見なしている。

開発者たちを守るには

IT セキュリティの専門家たちが推奨するのは、コード・プロジェクトへの新たなコントリビューションを定期的に監視/監査すると同時に、サプライ・チェーン攻撃のリスクについて、開発者を教育して意識を向上させることだ。

Kadouri は、「競争はさて置き、オープンソース・エコシステムを攻撃者たちから守るために、私たちは協力し合えると信じている。ソフトウェア・サプライチェーンの脅威に対して、優位性を保つためには、リソースの共有が極めて重要になる」と述べている。

また Kadouri は、「ソフトウェア・サプライチェーン攻撃は、今後も続くと思われる。サプライチェーン攻撃の手法は、ビルド・パイプライン/AI/LLM などを用いて進化していくだろう」と付け加えている。

最近では、Hugging Face などの機械学習モデルのリポジトリでも、脅威アクターによる悪意のコード注入が発生し、オープンソース・リポジトリである npm や PyPI のインシデントに近づいている。

その他にも、最近ではソフトウェア開発プラットフォーム・マネージャである JetBrains TeamCity のクラウド版でインシデントが発生し、また、2023年9月には数百の GitHub リポジトリに紛れ込んだ悪意のコードによる影響が生じるなど、ソフトウェア・サプライチェーンでセキュリティ問題が引き起こされている。

2024年3月の初めには、イランのハクティビストによる、イスラエルの大学に対するサプライチェーン攻撃が発生している。この攻撃は、脆弱なアクセス制御と不安定な認証チェックを突いたものだが、同校に関連するテクノロジー・プロバイダーへの侵入が、攻撃の入口だったと判明している。

Top.gg って何のことなのかと調べてみたら、Discord Bot のためのリポジトリのことだと分かってきました。Discord を使っていないの、あまりピンときませんが、かなりの賑を見せているようです。さまざまな開発リソースが狙われ、サプライチェーン攻撃が展開されています。よろしければ、Discord で検索も、ご利用ください。