*更新 5月20日 04:17 EDT: GitHubは、従業員が悪意のあるVS Code拡張機能をインストールした結果、約3,800の内部リポジトリが侵害されたことを確認しました。([参照元](https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/))* 広く利用されているクラウドベースの開発プラットフォームである**GitHub**は、内部リポジトリの侵害を調査しています。これは、ハッカー集団**TeamPCP**が約4,000のリポジトリにアクセスし、プライベートコードが含まれていたと主張したことを受けてのものです。 400万以上の組織（Fortune 100企業の90%を含む）と1億8000万人以上の開発者が4億2000万以上のコードリポジトリに貢献しているGitHubにとって、そのセキュリティは最重要です。 ### 調査進行中 同社は不正アクセスを調査中であると述べていますが、現時点では詳細を明らかにしていません。顧客の内部リポジトリ外に保存されている顧客データに影響があった証拠は、現時点では確認されていません。 「GitHubの内部リポジトリへの不正アクセスを調査しています」とGitHubはBleepingComputerに語りました。 「現時点では、GitHubの内部リポジトリ外に保存されている顧客情報（顧客の企業、組織、リポジトリなど）への影響を示す証拠はありませんが、追跡活動がないかインフラストラクチャを綿密に監視しています。」 GitHubは、影響が発見された場合、確立された通知およびインシデント対応チャネルを通じて、影響を受けたすべての顧客に通知することを保証しています。 ### TeamPCPの主張 **TeamPCP**は、Breachedハッキングフォーラムで「Githubのソースコードと内部組織」へのアクセスを主張し、データのために少なくとも50,000ドルを要求しました。 「安値のオファーは受け付けません。メインプラットフォームのすべてがあります。興味のある購入者にはサンプルを送って、その完全な真正性を確認してもらうことができます。ここには、合計で約4,000のリポジトリのプライベートコードがあります」と彼らは述べました。 さらに、「いつものように、これは身代金ではありません。GitHubを恐喝することには関心がありません。購入者が1人見つかれば、データを削除します。私たちの引退が近いようです。購入者が見つからなければ、無料でリークします。興味がある場合は、以下の連絡先にオファーを送ってください。50k未満のオファーには興味がありません。最も良いオファーが獲得します。」と付け加えました。 ### TeamPCPの経歴 **TeamPCP**は、GitHub、**PyPI**、**NPM**、**Docker**を含む開発者コードプラットフォームを標的としたサプライチェーン攻撃の歴史があります。 3月には、同グループは**Aqua SecurityのTrivy脆弱性スキャナー**を侵害し、Aqua SecurityのDockerイメージとCheckmarx KICSプロジェクトに影響を与えるさらなる侵害につながりました。 **Trivy**の侵害は、**LiteLLM**オープンソースPythonライブラリにも影響を与え、「TeamPCP Cloud Stealer」情報窃盗マルウェアで数万台のデバイスを感染させました。 さらに最近では、**OpenAI**の従業員に影響を与えた「Mini Shai-Hulud」サプライチェーンキャンペーンに関連付けられ、侵害されたCI/CD認証情報を使用して盗まれた**Mistral AI**のソースコードをリークすると脅迫しました。 <div> <a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">検証のギャップ：自動ペネトレーションテストは1つの質問に答えます。あなたには6つ必要です。</a></h2> <p>自動ペネトレーションテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを移動できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。</p> <p>このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">今すぐダウンロード</a></p> </div> </div>