ハッカーが悪意のあるコードを隠すために正規のソフトウェアを破壊する、いわゆるソフトウェア サプライ チェーン攻撃は、かつては比較的まれな出来事でしたが、無害なアプリケーションを被害者のネットワーク上の危険な足場に変えるという陰湿な脅威でサイバーセキュリティの世界を悩ませました。現在、あるサイバー犯罪者グループは、時折起こるこの悪夢をほぼ毎週の出来事に変え、何百ものオープンソース ツールを破壊し、被害者から利益を強要し、世界のソフトウェアの作成に使用されているエコシステム全体に新たなレベルの不信感を植え付けています。
火曜日の夜、オープンソース プラットフォームの GitHub は、そのようなソフトウェア サプライ チェーン攻撃の 1 つでハッカーによって侵害されたと発表しました。GitHub 開発者が、GitHub 自体と同様に Microsoft が所有する人気のコード エディター プラグインである VSCode に「毒された」プラグインをインストールしました。その結果、侵害の背後にいるハッカー、TeamPCP と呼ばれる悪名がますます高まっているグループが、GitHub の約 4,000 のコード リポジトリにアクセスしたと主張しています。 GitHubの声明では、少なくとも3,800の侵害されたリポジトリを発見したことを確認し、これまでの発見に基づくと、それらにはすべて顧客のコードではなくGitHub独自のコードが含まれていたと指摘した。
「私たちは今日、GitHubのソースコードと内部組織を売りに出すためにここに来ました」とTeamPCPはサイバー犯罪者向けのフォーラム兼マーケットプレイスであるBreachForumsに書いた。 「メインプラットフォームに必要なものはすべて揃っており、絶対的な信頼性を確認するために興味のある購入者に喜んでサンプルを送ります。」
GitHub の侵害は、終わりの見えないこれまでで最長のソフトウェア サプライ チェーン攻撃の中での最新の事件にすぎません。ソフトウェア サプライ チェーンに焦点を当てたサイバーセキュリティ企業 Socket によると、TeamPCP はここ数か月の間に、サプライ チェーン攻撃を 20 回「波」実行し、500 以上の個別のソフトウェアにマルウェアを隠しました。TeamPCP がハイジャックしたコードのさまざまなバージョンをすべて数えると、1,000 をはるかに超えています。
