プログラミングをするパンダ

この種の手口としては過去最大級と見られるサプライチェーン攻撃が報告されています。正規の公式リポジトリ側のソースコードには手を加えず、攻撃者が用意した別フォーク経由で、PHPのパッケージ配布サイトPackagistから配布される正規バージョンに情報窃取マルウェアを忍び込ませる巧妙な手口です。GitHubの仕様では、正規の公式リポジトリで発行したバージョンタグがそのリポジトリのフォーク上のコミットを指すこともできます。 攻撃者は、何らかの形で正規の公式リポジトリ側のタグ発行権限を取得したうえで、自分が用意した別フォークに悪意あるコードを仕込み、その公式リポジトリ側でそのコミットを指すバージョンタグだけを発行。 Packagistはこのタグを正規リリースとして自動的に取り込み、タグが指す攻撃者のフォーク内コミットを正規バージョンの中身として配信。 正規の公式リポジトリには痕跡が一切残らないまま、利用者がComposerで正規パッケージをインストールするだけで、攻撃者の不正コードが手元まで届いてしまいます。 標的はPHPの多言語化ライブラリLaravel-Lang(GitHub上で7,800超のスター)で、laravel-lang/langを含む4パッケージで計700超の過去バージョンが汚染されています。 不正なタグは5月22〜23日(UTC)に短時間で集中的に発行され、Packagistはこれらを速やかに取り下げています。 【要点の整理】 ・手口は業界で「Imposter Commit / Imposter Tag」(なりすましコミット/タグ)と呼ばれる既知のパターン。GitHubがフォークと元リポジトリの間でGitデータを共有する仕様を悪用するもので、2023年にChainguardが警告していたもの。GitHub Actions関連では過去にtj-actions/changed-filesやreviewdog、本件の4日前の5月18〜19日にもactions-cool/issues-helper(53タグが書き換えられた)で同じ手口が確認されており、Composer/Packagistパッケージにこの規模で適用された事例はこれまで見当たらない ・攻撃者はLaravel-Lang組織のアカウント認証情報、GitHub Actionsなどのリポジトリ自動化設定、リリース基盤のいずれかに不正アクセスしていた可能性が高い(Socketの分析、短時間での大量タグ発行と、攻撃後にブランチが削除されている点が根拠)。外部からの単純な侵入というより、Laravel-Langのリリース体制そのものが乗っ取られていた疑い ・悪意あるsrc/helpers[.]phpがcomposer[.]jsonのautoload[.]filesに登録されているため、利用するアプリでPHPリクエストが来るたびに、Composerのオートローダー(自動読み込み機能)がこのファイルを毎回呼び出してしまう作り。攻撃者の指令サーバ(C2)ドメインflipboxstudio[.]infoは、文字コードの数値を並べた配列から実行時に組み立てる仕掛けで、コードを目で見ただけではドメイン文字列が見つからないよう難読化されている ・第2段階の本体コード(ペイロード)は約5,900行のPHP製情報窃取マルウェアで、十数種類の窃取機能をもつ。Kubernetesのサービスアカウントトークン、CI/CD認証情報(Jenkins、GitHub Actions、GitLab Runner等)、SSH秘密鍵、Chromium系ブラウザ各種とFirefoxの保存パスワード、パスワードマネージャー(1Password、Bitwarden、LastPass等)、暗号資産ウォレット���でを盗み出す対象 ・Chrome v127以降のApp-Bound暗号化(ブラウザ外のプロセスから保存パスワードを取り出せないようにする仕組み)を回避するため、PHPコードにBase64でエンコードして埋め込んでおいた専用の実行ファイルをディスクに書き出して実行し、復号用の鍵を取り出すという手の込んだ仕掛けも含む。盗み出したデータは暗号化したうえで攻撃者のサーバに送信、最後はマルウェア自身もファイルを削除して痕跡を消す ・対象パッケージはLaravel本体ではなく、サードパーティの多言語化ライブラリ 該当パッケージを利用している環境では、composer[.]lockに侵害バージョンが含まれていないかの早急な確認と、クラウドやCI/CD向け認証情報を中心とした幅広い認証情報の入れ替え(ローテーション)が推奨されます。 Composer環境では、composer[.]lockをコー���管理に含めて共有し、本番デプロイやCI/CDでは「composer update」ではなく「composer install」のみを使う運用にしておけば、タグ書き換え型攻撃の影響を最小化できます(composer[.]lockには各依存���正確なコミットSHAが自動記録されており、これがComposerにおける実質的なSHA固定の仕組み)。 逆に、攻撃時期に「composer update」を実行した環境では、composer[.]lockが侵害バージョンに更新されている可能性があるため、要監査。 詳細は以下を参照: https://t.co/0S7pDCR4qm