GitHub Actionsを狙ったサプライチェーン攻撃 攻撃者たちの真意は?:Cybersecurity Dive
GitHub Actionsを狙ったサプライチェーン攻撃の真意がPalo Alto Networksの研究チーム「「Unit 42」によって明らかになった。攻撃者たちは最初の攻撃で、暗号資産取引所のCoinbaseを標的にしていたという。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Palo Alto Networksの研究チーム「Unit 42」の報告書によると(注1)、「GitHub Actions」に対するサプライチェーン攻撃を仕掛けた攻撃者は、最初の攻撃で、暗号資産取引所のCoinbaseを標的にしていたという。クラウドセキュリティサービスを提供するWizの研究者たちも、更新されたブログ投稿の中で、Coinbaseが最初の標的だったことを確認している(注2)。
GitHub Actionsを狙ったサプライチェーン攻撃 攻撃者たちの真意は?
この攻撃は、暗号資産取引所が公開しているオープンソースプロジェクト「agentkit」におけるCI/CD(継続的インテグレーション/継続的デリバリー)のフローを悪用するよう設計されていた。研究者たちによると、攻撃者はこのプロジェクトを利用してさらなる侵害を計画していた可能性が高い。だが、Coinbaseの機密情報にアクセスしたり、パッケージを公開したりはできなかったという。
Palo Alto Networksの研究者たちによると、攻撃者はその後数日かけてより大規模な攻撃を準備し、最終的に「tj-actions/changed-files」の複数のバージョンを侵害したという。この大規模な攻撃によって、2万3000件以上のリポジトリが危険にさらされた。Unit 42の研究者たちは潜在的リスクはさらに高く数万件に影響が及ぶ可能性があると警告している。
既に報告されている通り、攻撃者は「tj-actions/changed-files」および「review-dog/action-setup/v1」に対する攻撃を実行していた。これらの侵害はそれぞれ「CVE-2025-30066」および「CVE-2025-30154」として追跡されている(注3)(注4)。
2025年3月14日(現地時間)に発見された「tj-actions/changed-files」に対する攻撃では、個人用のアクセストークンが侵害され、そこから悪質なコードが注入された。この結果、Pythonで構築された悪質なスクリプトが稼働し、機密情報を漏えいさせた。
サイバーセキュリティ事業を営むEndor Labsによると「tj-actions/changed-files」への攻撃に関連して、約218件のリポジトリから機密情報が漏えいしたという(注5)。
Wizの研究者たちによると(注6)、「review-dog/action-setup/v1」に対する攻撃は、はるかに小規模だったようだ。
Unit 42の研究者たちは「reviewdog/action-setup」のリポジトリを流用した「iLrmKCu86tjwp8」というユーザーを確認したものの、同ユーザーは姿を消した。
Palo Alto Networksのオマー・ギル氏(シニアリサーチマネジャー)は、電子メールで次のように述べた。
「Coinbaseが問題を検知して自社で対処した後、攻撃者は『tj-actions/changed-files』の全てのタグバージョンに影響を及ぼす大規模な攻撃の実施を決定した」
Unit 42の研究者たちによると、そのユーザーは複数の不正なコードを含む13件のコミットを実行していたとみられる。また、「reviewdog/action-typos」というリポジトリもコピーしており、さらに15件のコミットを追加していた。フォークとは、元のソースコードを自分の環境にコピーし、そのコピーに対して自由に変更を加えることを指す。
Unit 42の研究者によると、攻撃者は最終的に「tj-actions/changed files」への攻撃のわずか数時間前である2025年3月14日に「coinbase/agentkit」のリポジトリへの書き込み権限を持つGitHubのトークンを取得したという。
Unit 42の研究者はCoinbaseのメンテナに連絡し、ワークフローが削除されたことを確認するとともに、自社の調査結果をCoinbaseと共有した。
Coinbaseの広報担当者は、コメントに応じなかった。
(注1)GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2)(UNIT 42)
(注2)New GitHub Action supply chain attack: reviewdog/action-setup(WIZ)
(注3)CVE-2025-30066 Detail(NIST)
(注4)CVE-2025-30154 Detail(NIST)
(注5)GitHub Action compromise linked to previously undisclosed attack(Cybersecurity Dive)
(注6)New GitHub Action supply chain attack: reviewdog/action-setup(WIZ)
関連記事
Fortinet製品群に複数の深刻な脆弱性 急ぎ対応を
Fortinetは、「FortiSwitch」「FortiAnalyzer」「FortiManager」「FortiOS」「FortiProxy」「FortiVoice」「FortiWeb」など同社の製品群に影響を及ぼす複数の重大な脆弱性を修正した。
Oracle CloudのSSOログインサーバへの侵害で新報道 「Oracleが隠蔽を図った」と主張
Oracle CloudのSSOログインサーバへの侵害を巡る一連の問題で、新たな報道があった。セキュリティニュースメディアの「DoublePulsar」はOracleがセキュリティインシデントを顧客に対して隠蔽しようとしていると報じた。
Webブラウザ利用者が知らずに犯してしまう「ルール違反」とは?
インフォスティーラー(情報窃取型マルウェア)が流行しています。このマルウェアは基本的な対策だけでは防ぐのがなかなか難しい厄介なものです。特に従業員のWebブラウザの利用次第で感染を拡大させるリスクも……。詳細を解説します。
それぞれのCSIRT組織 各社はどんな体制で、どんな活動をしてきたか?
2024年はKADOKAWAのランサムウェア被害など、国内でも注目を集めたインシデントが発生した。各社CSIRT組織はこれらの問題からどんな教訓を得て、どう組織運営に生かしたか。体制が異なる4社の取り組みを聞いた。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
ITmediaはアイティメディア株式会社の登録商標です。