GitHubリポジトリが乗っ取られる脆弱性を発見、ただし対処済み

Checkmarxはこのほど、「Attacking the Software Supply Chain with a Simple Rename｜Checkmarx.com」において、GitHubリポジトリが制御され、依存するすべてのアプリケーションおよびその他のコードが悪意のあるコードに感染する可能性のある脆弱性を発見したと伝えた。なお、この脆弱性はGitHubに報告され修正されたため悪用されることはないと報告されている。

Checkmarxによって公開された脆弱性を悪用する手法は「RepoJacking」と名付けられており、「popular repository namespace retirement」というGitHubの保護メカニズムを回避するものとされている。この手法は、名前が変更されたリポジトリ URL トラフィックを乗っ取り、元のリダイレクトを無効にする脆弱性を悪用して攻撃者のリポジトリにルーティングするものだという。

この脆弱性の悪用に成功した場合、「Packagist」「Go」「Swift」などを含む複数のパッケージマネージャで人気のあるコードパッケージの乗っ取りが可能になることがわかった。これらのパッケージマネージャにおいて、ユーザー名を変更した1万以上のパッケージが確認されており、RepoJackingによる乗っ取りが発生する危険性があることがCheckmarxの調査によって判明している。

さらにこの欠陥が悪用された場合、人気のGitHub Actionsが乗っ取られる危険性もあると述べられている。GitHub Actionsが侵害されることでサプライチェーン攻撃につながる可能性が指摘されている。別の方法による保護メカニズムのバイパスが発生する可能性についても言及されており、攻撃対象領域を最小化するために、使われていない名前空間を使用しないことが強く勧められている。またリスクを特定して軽減を支援するオープンソースツールの提供も行われている。