News Recent GitHub supply chain attack traced to leaked SpotBugs token A cascading supply chain attack on GitHub that targeted Coinbase in March has now been traced back to a single token sto... News
News Coinbaseは最近のGitHub Actionsの侵害の主な標的であった。 研究者らは、数百のリポジトリの秘密を漏洩させた最近のGitHub Actionsの連鎖的なサプライチェーン攻撃において、Coinbaseが主要な標的であったことを突き止めた。 Palo Alto Unit 42と Wizからの新しい報告によ... News
News ギットハブ・アクションのサプライチェーン攻撃で218のリポジトリに秘密が流出 GitHubアクションtj-actions/changed-filesの侵害は、それを使用している23,000のプロジェクトのごく一部に影響を与えたに過ぎず、サプライチェーン攻撃によって秘密が暴露されたリポジトリは218に過ぎないと推定され... News
News GitHub Actionのハッキングがサプライチェーン攻撃の連鎖につながった可能性が高い、 reviewdog/action-setup@v1」GitHub Actionの侵害から始まった連鎖的なサプライチェーン攻撃は、CI/CDの秘密を流出させた「tj-actions/changed-files」の最近の侵害につながったと考えられている。 先週、tj-actions/changed-filesGitHubActionに対するサプライチェーン攻撃によって、悪意のあるコードが23,000のリポジトリのワークフローログにCI/CDの秘密を書き込んだ。もしこれらのログが公開されていたら、攻撃者は秘密を盗むことができただろう。 tj-actionsの開発者は、攻撃者が悪意のあるコード変更を実行するためにボットが使用するGitHubパーソナル・アクセストークン(PAT)を侵害した方法を正確に特定することはできません。 今日、Wizの研究者は、’reviewdog/action-setup’という名前の別のGitHubアクションから始まった連鎖的なサプライチェーン攻撃の形で答えを見つけたかもしれないと考えている。 サイバーセキュリティ会社の報告によると、攻撃者はまずreviewdog/action-setup GitHubアクションのv1タグを侵害し、CI/CDの秘密をログファイルにダンプするために同様のコードを注入した。 tj-actions/eslint-changed-filesはreviewdog/action-setupアクションを利用しているため、侵害されたアクションはtj-actionの個人アクセストークンをダンプし、それを盗むために使用されたと考えられている。 “我々は、reviewdog/action-setupの侵害がtj-actions-bot PATの侵害の根本原因である可能性が高いと信じている。 “tj-actions/eslint-changed-filesはreviewdog/action-setup@v1を使用しており、tj-actions/changed-filesリポジトリはこのtj-actions/eslint-changed-files ActionをPersonal Access Tokenで実行している。” “reviewdogアクションは、tj-actions PATの侵害とほぼ同じ時間帯に侵害された。” 攻撃者は、install.shにbase64エンコードされたペイロードを挿入し、影響を受けたCIワークフローからのシークレットを暴露させた。 tj-actions の場合と同様に、公開されたシークレットは、ワークフローのログの一部として公開リポジトリで見ることができる。 サプライチェーン攻撃の概要Source:ウィズ 侵害が確認されたreviewdog/action-setup@v1タグとは別に、以下のアクションも影響を受ける可能性がある: reviewdog/action-shellcheck reviewdog/action-composite-template reviewdog/action-staticcheck reviewdog/action-ast-grep reviewdog/action-typos Wiz氏は、Reviewdogのセキュリティ侵害は偶発的に修復されたが、再発防止のためにチームとGitHubに報告したと説明している。 侵入の正確な手口は特定されていないものの、Reviewdogは大規模な投稿者ベースを維持し、自動招待によって新しいメンバーを受け入れているため、当然リスクは高くなるとWiz氏はコメントしている。 注目すべきは、もしアクションが侵害されたままであれば、tj-actions/changed-filesへの攻撃を繰り返し、成功させることは現実的に可能であり、ローテーションされたばかりのCI/CDの秘密が暴露される可能性があるということだ。 推奨事項 Wizは、影響を受ける可能性のあるプロジェクトに対して、このGitHubクエリを実行して、リポジトリにreviewdog/action-setup@v1への参照がないかチェックすることを提案する。 ワークフローのログに二重にエンコードされたbase64のペイロードが見つかった場合、これはそのシークレットが流出したことの確認とみなされます。 開発者は直ちに、ブランチ全体にわたって影響を受けるアクションへの参照をすべて削除し、ワークフローのログを削除し、潜在的に暴露された秘密をローテーションすべきである。 今後同様の漏洩を防ぐには、GitHubのアクションをバージョンタグではなくコミットハッシュに固定し、GitHubの許可リスト機能を使って許可されていないアクションを制限すること。 これらのサプライチェーン攻撃や流出したCI/CDの秘密は、影響を受けたプロジェクトに永続的な影響を与えるに違いないので、リスクを軽減するために迅速な対応が必要だ。 3/19更新: Reviewdogチームはセキュリティ勧告を発表し、侵害を認め、影響を受ける可能性のあるユーザーへの指示を提供した。 .ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } . 攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10 1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。 レッドレポート2025を読む A cascading supply chain attack that began with the compromise of the "reviewdog/action-setup@v1" GitHub Action is belie... News
News 人気のGitHub Actionへのサプライチェーン攻撃でCI/CDの秘密が暴露される 23,000のリポジトリで広く利用されているGitHub Actionの「tj-actions/changed-files」を狙ったサプライチェーン攻撃により、脅威者がGitHub ActionsのビルドログからCI/CDの秘密を盗み出す可... News
News GitHub Actionsのアーティファクト、人気プロジェクトで認証トークンの漏えいが見つかる Google、Microsoft、AWS、Red Hatなど、複数の著名なオープンソースプロジェクトが、CI/CDワークフローのGitHub Actions成果物を通じてGitHub認証トークンを流出していることが判明した。 これらのトーク... News
news 大規模なクリプトマイニング キャンペーンが無料利用枠のクラウド開発リソースを悪用 自動化された大規模な「フリージャック」キャンペーンは、無料の GitHub、Heroku、および Buddy サービスを悪用して、プロバイダーの費用で暗号通貨をマイニングしていることが発覚しました。 この操作は、無料層のクラウド アカウント... news