GitHubは火曜日、攻撃者が悪意のあるVisual Studio Code拡張機能を通じて従業員のデバイスを侵害し、内部リポジトリに不正アクセスしたことを確認しました。Microsoft傘下のこのプラットフォームは、侵害を検出し、対応を制御し、悪意のある拡張機能を削除し、影響を受けたエンドポイントを隔離して、直ちにインシデント対応を開始しました。
同社は、今回の侵害はGitHub内部リポジトリの外部流出に限定されていたと現在評価している。顧客リポジトリ、エンタープライズ組織、およびGitHubの内部システム外部に保存されたユーザー情報は影響を受けていないと考えられている。
侵害の規模
GitHubは、攻撃者が約3,800の内部リポジトリを取得したという主張が、自らの調査結果と方向性において一致していることを確認しました。脅威グループTeamPCPは、この侵害行為を責任を負い、盗まれたデータセットを地下サイバー犯罪フォーラムで5万ドル以上で販売しようとしていると報告されています。同グループは、このデータに約4,000のプライベートリポジトリからのプロプライエタリなプラットフォームソースコードおよび内部組織ファイルが含まれていると主張しています。
GitHubは、侵害を検出後、重要な資格情報を迅速にローテーションし、最も影響の大きいシークレットを優先したと述べました。同社は、ログの分析を継続し、シークレットのローテーションを検証するとともに、その後の活動を監視しています。
内部リポジトリへのアクセスが重要な理由
同社は、内部リポジトリ外に保存された顧客情報への影響の証拠はないと述べました。セキュリティ研究者は、特定の表現が重要であると指摘しました。「影響の証拠なし」は、顧客データが安全であることを確認するものではありません。これは調査が継続中であり、影響範囲全体がまだ特定されていないことを意味します。
内部リポジトリには、インフラ構成、デプロイスクリプト、内部APIドキュメント、ステージング用認証情報、フィーチャーフラグ、モニタリングフック、未文書化されたサービスが含まれることが一般的です。内部ソースコードへのアクセスは、顧客データへの直接アクセスがなくても、システム全体のアーキテクチャの設計図を提供することを意味します。
セキュリティ専門家は、GitHubがフォローアップ活動の監視を明示的に言及したことを重要と指摘しました。現代の攻撃は初期アクセスで終わることはめったにありません。標準的な進行は、初期の侵入から調査、権限昇格、永続化へと進み、防御側が脅威が収束したと判断した後に、2回目の標的型活動が発生します。
GitHubが行っていること
GitHubは、侵害が検出された当日に重要なシークレットをローテーションし、最も機密性の高い資格情報を優先して対応したと述べました。同社は、二次的な活動がないかインフラを引き続き監視しており、調査が完了次第、より詳細なインシデントレポートを公開します。顧客のデータに影響が確認された場合、既存のインシデント対応チャネルを通じて通知されます。
GitHubを使用している開発者は、顧客のリポジトリが直接影響を受けていないと信じられている場合でも、リポジトリに保存されたAPIキーを確認し、ローテーションすることを推奨されています。