## 狙われるサプライチェーン：CISA、新たな脅威に対応 **CISA**は、開発者エコシステムおよび継続的インテグレーション/継続的開発（CI/CD）パイプラインを特に標的とする、複数の新たなソフトウェアサプライチェーン侵入キャンペーンについて懸念を表明しています。これらの攻撃は、エンタープライズ、クラウド、DevOps環境をサポートするツールやプロセスの脆弱性を悪用しています。 ### 悪意のあるVS Code拡張機能によるGitHubの侵害 攻撃者は、以前に**Nx**開発者システムを侵害していたことを利用し、悪意のあるサードパーティ製VS Code拡張機能を通じて**GitHub**従業員のデバイスを侵害しました。これにより、内部**GitHub**リポジトリへの不正アクセスと情報窃取が発生しました。悪意のある拡張機能である**Nx Console**のバージョン18.95.0は、VS Codeの自動更新メカニズムを通じて配布されました。以前に**Nx Console**をインストールしていたシステムは、開発者による手動操作なしに悪意のあるビルドを受け取っていた可能性があります。 **GitHub**はこのインシデントに関して[セキュリティアドバイザリ](https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w)を公開しており、悪意のある**Nx Console**のバージョンには**CVE-2026-48027**が割り当てられ、**CISA**の既知の悪用された脆弱性（KEV）カタログに追加されました。 ### 『Megalodon』キャンペーン：悪意のあるワークフローの注入 『Megalodon』と名付けられたキャンペーンでは、攻撃者は悪意のある**GitHub** Actionワークフローを注入し、CI/CDシークレット、クラウド認証情報、トークンを収集しました。これは、公開されている**GitHub**リポジトリの開発およびデプロイメントパイプラインの両方に影響を与えました。 ### CISAによる検出および修復のための推奨事項 **CISA**は、潜在的な侵害を検出および修復するために、組織に以下の推奨事項の実装を求めています。 * 疑わしいプルリクエストや直接コミット、特に自動化されたアカウント（例：`build-bot`、`auto-ci`、`ci-bot`、`pipeline-bot`）によって作成されたものについて、ワークフローファイルと貢献者のアクティビティを監視および監査する。 * 不正な変更、特に2026年5月18日以降に行われたものを元に戻す。 ### インシデント対応手順 組織が、以前に侵害された**GitHub**または**Nx Console**ソフトウェアに起因する侵害を発見した場合、**CISA**は以下の手順を推奨しています。 * CI/CDログ、クラウド監査ログ、および影響を受けた開発者マシンのフォレンジックレビューを実施する。 * CI/CDパイプラインからアクセス可能なすべてのシークレット（認証情報、トークン、APIキー、クラウドプロバイダー認証情報（**Amazon Web Services**、**Google Cloud Platform**、**Microsoft Azure**）、SSHキー、**Docker**/**npm**/**PyPI**/**Vault**/**Terraform**/**Kubernetes**トークン、**GitHub**/**GitLab**/**Bitbucket**トークン、開発者またはパイプラインシークレットなど）をローテーション/取り消す。 * 必要に応じて関連するステークホルダーに通知する。 ### パッケージリポジトリのベストプラクティス **CISA**は、パッケージリポジトリの使用に関する以下のベストプラクティスを推奨しています。 * 新しいパッケージをプルする前に少なくとも3時間待機し、ソフトウェアコミュニティが悪意のあるパッケージを特定する時間を与える。 * ビルドプロセス中に悪意のある、またはスクリーニングされていないパッケージをプルすることを防ぐために、ソフトウェアを特定の信頼されたバージョンにピン留めする。 * 悪意のあるフォークされたパッケージをダウンロードする可能性を減らすために、既知の信頼できるソースからのみパッケージをプルする。 ### リソース これらの侵害に関する詳細については、以下のリソースを参照してください。 * GitHub: [Investigating unauthorized access to GitHub-owned repositories](https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/) * Nx: [Postmortem: Nx Console v18.95.0 supply-chain compromise](https://nx.dev/blog/nx-console-v18-95-0-postmortem) * Ox Security: [Megalodon: CI/CD Malware Spreading Across GitHub Repositories](https://www.ox.security/blog/megalodon-cicd-malware-github/) * StepSecurity: [Nx Console VS Code Extension Compromised](https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised#indicators-of-compromise) * SafeDep: [Megalodon: Mass GitHub Repo Backdooring via CI Workflows](https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/) ## 免責事項 本レポートの情報は、「現状有姿」で情報提供のみを目的として提供されています。**CISA**は、本ドキュメント内でリンクされているエンティティ、製品、またはサービスを含む、いかなる商業的エンティティ、製品、会社、またはサービスも推奨しません。