月間100万ダウンロードのOSSパッケージでクレデンシャル窃取
原題: Open source package with 1 million monthly downloads stole user credentials
なぜ重要か
オープンソース供給チェーン攻撃の深刻さを示し、開発者のセキュリティ対策強化とCI/CD環境保護の重要性を浮き彫りにする事例
機械学習監視ツール「element-data」のバージョン0.23.3が悪意のあるコードに改ざんされ、ユーザーの認証情報やAPIキーなどの機密データを窃取していたことが判明。攻撃者はGitHub actionの脆弱性を悪用して開発者アカウントへ不正アクセスし、署名キーを取得してマルウェアパッケージを公開した。
月間100万回以上ダウンロードされるオープンソースパッケージ「element-data」が攻撃者により改ざんされ、ユーザーの機密情報を窃取していた事件が発覚した。element-dataは機械学習システムのパフォーマンスと異常を監視するコマンドラインインターフェースツールである。攻撃者は開発者が作成したGitHub actionの脆弱性を悪用し、プルリクエストに悪意のあるコードを投稿することで開発者アカウント内でbashスクリプトを実行させた。このスクリプトにより攻撃者は署名キーやその他の機密情報へのアクセスを獲得した。金曜日に攻撃者はこれらの情報を使用してバージョン0.23.3として悪意のあるパッケージをPython Package IndexとDockerイメージアカウントに公開した。このマルウェアは実行時にシステムからユーザープロファイル、ウェアハウス認証情報、クラウドプロバイダーキー、APIトークン、SSHキーなどの機密データを収集した。悪意のあるパッケージは約12時間後の土曜日に削除された。開発者らは第三者からの問題報告により侵害を発見し、3時間以内にパッケージを削除、全ての認証情報をローテーションし、脆弱性を修正した。影響を受けたユーザーには即座のアンインストールと認証情報の更新が推奨されている。