GitHubをサプライチェーン攻撃の経路として利用

2025.04.16

2025年3月25日、Tony Burgess

GitHubは、ワークフローの管理、バージョン管理の維持、コードの保存と共有、プロジェクトでの共同作業など、アプリ開発者が利用する非常に重要なプラットフォームです。しかし、GitHubのアクションや成果物が侵害された最近の攻撃は、サードパーティのコードを利用する際にサプライチェーンセキュリティのベストプラクティスを実践することの重要性を改めて認識させるものです。

魅力的なベクター

GitHub はその性質上、ソフトウェアサプライチェーン攻撃のベクターとしてサイバー犯罪者にとって非常に魅力的です。攻撃者が GitHub のセキュリティを侵害し、多数の開発者によって一般的に使用されているコードの一部（共有されたビルディングブロック）を侵害することができれば、価値のあるデータが保存されている何百、何千ものネットワークにバックドア経由でアクセスできるようになります。

侵害されたアクションは23,000件に影響

今日、私がこれを書いている2025年3月19日、大規模な攻撃が発見されました。米国サイバーセキュリティ・インフラストラクチャ保護機関（CISA）が発表した警告によると、

人気の高いサードパーティGitHub Actionであるtj-actions/changed-files（CVE-2025-30066として追跡）が侵害されました。このGitHub Actionは、プルリクエストやコミットで変更されたファイルを検出するように設計されています。サプライチェーンが侵害されたことで、有効なアクセスキー、GitHubパーソナルアクセストークン（PAT）、npmトークン、プライベートRSAキーなど、秘密情報の情報漏洩が可能になりました。これはv46.0.1で修正されています。

侵害されたGitHub Actionは、約23,000の異なるGitHubリポジトリでアクティブであったため、アクティブであった期間中、機密情報が大規模に公開されていた可能性がある。

この攻撃の予期せぬ特徴の1つは、悪意のあるペイロードが盗んだデータを外部サーバーに流出させないことである。代わりに、単にリポジトリにダンプし、アクセス権を持つ誰もがそれを見ることができる。

アーティファクト侵害の影響を受けた大手企業

2024年8月、研究者らはオープンソースの成果物が「汚染」された攻撃を発見し、Google、Microsoft、Amazon Web Services、その他多数の企業が所有するプロジェクトに影響を与えていることを突き止めました。継続的インテグレーション/継続的デプロイメントのパイプラインが侵害されると、攻撃者は簡単に悪意のあるコードを本番環境にプッシュしたり、GitHubリポジトリやネットワーク上の他の場所にある機密情報にアクセスしたりできるようになります。

幸いにも、確認されたケースはすべて迅速に緩和され、それ以上の悪質な活動が行われた形跡は見られませんでした。

Elizabeth MontalbanoによるこのDark Readingの記事では、この攻撃について詳細な技術的な説明が提供されています。

Coloramaが侵害され、データ盗難が発生

2024年4月、Matthew Russoはこのブログで、GitHubを悪用した新たなサプライチェーン攻撃について報告しました。盗まれたブラウザのクッキー、タイポスクワッティング、その他の組み合わせを使用して、犯罪者は何百万人もの開発者が使用するサードパーティパッケージであるColoramaの改ざんされたコピーを展開することができました。

悪意のあるリソースは、複数のブラウザのデータを盗むことができました。

データには、オートフィル情報、クッキー、クレジットカード、ログイン認証情報、閲覧履歴が含まれます。また、Discordに侵入し、被害者のアカウントにアクセスして暗号通貨ウォレットを盗み、Telegramのデータを取得し、コンピュータファイルを外部に持ち出すために復号化できるトークンを探します。さらに、セッショントークンを使用してInstagramファイルから機密情報を盗み、被害者のキーストロークを記録し、パスワード、個人メッセージ、財務情報などの情報を公開することも可能です。