セキュリティ企業CheckmarxとBitwardenがサプライチェーン攻撃の標的に
原題: Why a recent supply-chain attack singled out security firms Checkmarx and Bitwarden
なぜ重要か
セキュリティ企業自体が攻撃対象となることで、サプライチェーン攻撃の連鎖的影響が拡大し、業界全体のセキュリティ体制見直しが急務となる
脆弱性スキャナーTrivyのGitHubアカウント侵害から始まったサプライチェーン攻撃により、セキュリティ企業CheckmarxとBitwardenが被害を受けた。攻撃者グループTeamPCPが3月19日にTrivy経由で両社にマルウェアを配布し、その後Checkmarxは40日間で複数回の攻撃を受け、最終的にLapsu$によるランサムウェア攻撃も発生した。
3月19日、広く利用されている脆弱性スキャナーTrivyのGitHubアカウントが侵害され、ユーザーにマルウェアが配布される事件が発生した。この攻撃により、セキュリティ企業CheckmarxとBitwardenが被害を受けた。攻撃者はTrivyのアクセス権限を悪用し、感染したマシンからリポジトリトークンやSSHキーなどの認証情報を窃取するマルウェアを送信した。4日後の3月23日、CheckmarxのGitHubアカウントが侵害され、同社のユーザーにマルウェアが配布された。同社は侵害を封じ込め修復作業を行ったが、4月22日に再びマルウェアが配布され、完全な修復ができていなかったか新たな攻撃が発生したことが判明した。セキュリティ企業Socketによると、CheckmarxのDocker Hubリポジトリでも同時期に悪意のあるパッケージが公開された。月曜日、Checkmarxは事態にさらなる展開があったと発表した。ランサムウェアグループLapsu$が先週、同社の機密データをダークウェブに流出させたことを明らかにした。流出データのタイムスタンプは3月30日で、攻撃者が同社の対応後もGitHubアカウントへのアクセスを維持していたことが示唆される。この攻撃は、TeamPCPと名乗るグループによって実行された。同グループは特権アクセスを持つツールを標的とする手法で成功を収めているアクセスブローカー集団で、侵害した認証情報を他のハッカーに販売している。