ハッカー集団TeamPCPがオープンソースコードを大規模汚染
原題: A hacker group is poisoning open source code at an unprecedented scale
なぜ重要か
オープンソースエコシステム全体への信頼を脅かす大規模攻撃で、ソフトウェア開発セキュリティ対策の根本的見直しが必要
サイバー犯罪集団TeamPCPが500以上のオープンソフトウェアにマルウェアを仕込む大規模なサプライチェーン攻撃を実行。GitHubが最新の被害者となり、約3800のコードリポジトリが侵害された。VSCode拡張機能の汚染により攻撃が成功した。
ハッカー集団TeamPCPによる前例のないサプライチェーン攻撃が続いている。火曜夜、GitHubは開発者が汚染されたVSCode拡張機能をインストールしたことで侵害されたと発表した。TeamPCPは約4000のGitHubリポジトリにアクセスしたと主張し、GitHubは少なくとも3800の侵害されたリポジトリを確認した。これらはすべてGitHub自身のコードで、顧客のものは含まれていないという。
サイバーセキュリティ企業Socketによると、TeamPCPは数カ月間で20回の「波状攻撃」を実行し、500以上の異なるソフトウェアにマルウェアを隠した。バージョンを含めると1000を超える。これらの汚染されたコードにより、ソフトウェアをインストールした数百社が侵害された。
TeamPCPの被害者にはOpenAIやMercorも含まれる。クラウドセキュリティ企業WizのBen Read氏は「GitHubの侵害が最大規模かもしれないが、先週起きた14件の侵害と質的に変わらない」と述べた。
TeamPCPは開発者が一般的に使用するオープンソースツールを狙う循環的な手法を採用している。VSCode拡張機能やデータ可視化ソフトウェアAntVなど、開発されているツールのネットワークに侵入し、マルウェアを仕込む戦術を続けている。