GitHub内部リポジトリ約3,800件に不正アクセス　悪意あるVS Code拡張が発端

その結果、攻撃者はGitHubのインフラそのものを直接突破するのではなく、従業員の開発環境を経由して内部リポジトリへアクセスしました。

攻撃を主張したのは「TeamPCP」

この侵害については、TeamPCPと呼ばれる脅威アクターが犯行を主張しています。

同グループは、GitHubのソースコードや内部組織情報をサイバー犯罪フォーラムで販売すると主張したと報じられています。

GitHub自身は当初、特定の攻撃者への正式な帰属は発表していませんが、複数のセキュリティ報道でTeamPCPとの関連が指摘されています。

悪意あるVS Code拡張が侵入を可能にした理由

VS Codeの拡張機能は、開発者の環境でコードを実行できるため、次のような広い権限を持ちます。

• ローカルファイルへのアクセス
• 開発ツールの設定やセッション情報
• APIトークンや認証情報

今回のケースでは、拡張機能が認証トークンやセッション情報を盗み出した可能性があり、その情報を使って攻撃者がGitHub内部のリポジトリにアクセスしたと考えられています。

これは最近増えている攻撃手法の典型例です。つまり、サービス本体を直接攻撃するのではなく、信頼された開発ツールを乗っ取って内部へ侵入するというものです。

GitHubの対応

GitHubは不審な挙動を検知した後、インシデントを迅速に封じ込めたとしています。主な対応は次の通りです。

• 悪意ある拡張機能バージョンをVS Code Marketplaceから削除
• 感染した従業員端末を隔離
• 機密性の高い認証情報のローテーション
• インシデント対応調査の開始

同社は現在も、関連する追加の不正活動がないかインフラの監視を続けています。

顧客データへの影響は？

GitHubの調査によると、影響はGitHub社内の内部リポジトリに限定されている可能性が高いとされています。

同社は、以下について影響の証拠は見つかっていないと説明しています。

• 顧客のリポジトリ
• 組織アカウント
• エンタープライズ顧客データ

つまり、被害はGitHubの内部エンジニアリング環境に限られているとみられています。

「Mini Shai‑Hulud」サプライチェーン攻撃との関係

研究者の間では、この事件がTeamPCPによる広範な攻撃キャンペーンの一部である可能性が指摘されています。

そのキャンペーンが**「Mini Shai‑Hulud」**と呼ばれるサプライチェーン攻撃です。

この活動では、開発者エコシステムのさまざまな要素が標的になっています。

• npmパッケージ
• PyPIライブラリ
• CI/CDパイプライン
• 開発ツールやIDE拡張

マルウェアはクラウド資格情報やCIトークンなどの機密情報を収集する設計になっており、開発パイプラインのさらに奥へ侵入することを目的としています。

なぜこの事件が重要なのか

今回の事件で特に注目されているのは、開発ツール自体が攻撃の入口になった点です。

近年のサイバー攻撃では、次のような環境が狙われる傾向が強まっています。

• 開発者のワークステーション
• オープンソース依存関係
• CI/CDシステム
• IDE拡張やプラグイン

これらの環境には、本番システムへつながる認証情報や秘密鍵が存在することが多く、攻撃者にとって非常に価値の高いターゲットです。

今回のGitHubのケースは、たった1つの開発ツールが侵害されるだけで、数千のリポジトリにアクセスされ得るという、ソフトウェアサプライチェーンの新たなリスクを浮き彫りにしました。

調査は継続中ですが、この事件は「開発者ツールのセキュリティ」そのものが、今やプラットフォームと同じくらい重要であることを示す象徴的な例といえます。