「GitHubで大規模なマルウェア攻撃が広まっている」──海外エンジニアのツイートが話題 すでに対応中か
「GitHubで大規模なマルウェア攻撃が広まっている」──海外エンジニアのツイートが話題になっている。投稿したのは海外のソフトウェアエンジニアのスティーブン・レーシー(@stephenlacy)さん。3日午後2時14分時点で、悪意あるコードがGitHub上に3万5000件以上見つかったという。
スティーブンさんは当初、「3万5000のリポジトリ(プロジェクトのソースコード保管庫)が感染している」としていたが、その後「GitHub上に3万5000件以上見つかったのであり、リポジトリが感染しているわけではない」と訂正している。悪意あるコードが埋め込まれているのは、正規のリポジトリから第三者がクローンしたもの。
投稿によると、暗号通貨(原文ではcrypto)やGo、Python、JavaScript、Bash、Docker、Kubernetesなどのサードパーティーライブラリのクローンリポジトリで悪意あるコードを確認しているという。悪意あるコードは、Node.jsのモジュール管理ツール「npmスクリプト」やDockerコンテナのパッケージ「Dockerイメージ」、インストールドキュメントに追加されているとしている。
続けて、スティーブンさんは「攻撃者はクローンした偽のリポジトリを正規のプロジェクトにプッシュしている」と説明。また、「この攻撃は、スクリプトやアプリケーション、ノートPCの環境情報を攻撃者のサーバに送信する」という。送信される情報の中には、セキュリティキーやAWSのアクセスキー、暗号化キーが含まれるとしている。
このツイートに対し世界中のユーザーが反応しており、一部のユーザーからは既に問題のコードの削除が進んでいるという声もある。午後4時52分時点で「3万5千個あったファイルが287個くらいになった」と指摘する声もある。
午後7時30分時点で、GitHubからの声明は確認できていない。
関連記事
スマートニュース、国会議案データベースを無償公開 過去20年分をGitHubで
国会の過去20年分以上の議案データを収集・整理し、オープンデータ化した国会議案のデータベースを、スマートニュースがGitHubで無償公開した。
GitHub、AIプログラミング機能「Copilot」の一般提供開始 月額10ドル
Microsoft傘下のGitHubは、AIプログラミング機能「GitHub Copilot」の一般提供を開始した。月額10ドルあるいは年額100ドルのサブスク制。学生と一部のメンテナーは引き続き無料で利用できる。
GitHub、テキストエディタ「Atom」の開発終了 12月に全プロジェクトをアーカイブ
GitHubは、テキストエディタ「Atom」の開発を終了すると発表した。12月15日に関連する全プロジェクトをアーカイブするという。
悪用続く「Log4Shell」 対応放置の企業はランサムウェア感染など二次被害 「パッチ適用を怠れば、コストは増大」
Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の集団に侵入されたり、ランサムウェア感染の二次被害が発生したりするケースもある。
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。