6月5日、**Microsoft**は**GitHub**上の**Azure**、**microsoft**、**Azure-Samples**、および**MicrosoftDocs**組織から73のリポジトリを削除するという断固たる措置を取りました。このインシデントはわずか105秒で収束しましたが、リポジトリ内に「潜在的に悪意のあるコンテンツ」が発見されたことが原因でした。 ### Miasma/Shai-Huludとの関連 セキュリティ研究者は、この侵害を**Miasma**または**Shai-Hulud**として知られる進行中のサプライチェーンキャンペーンに迅速に関連付けました。この洗練された攻撃ベクトルは、オープンソースエコシステムを標的とし、特に開発者の認証情報の窃盗に焦点を当てています。 **OpenSourceMalware**プラットフォームは、5月にMicrosoftのAzure組織内の「durabletask」リポジトリが侵害された過去の事例を指摘し、懸念を表明しました。これは、脅威アクターが再侵入を可能にする不完全なクリーンアップの可能性を示唆しています。 ### 直接的な影響と解決 インシデント中、GitHubのスタッフは「GitHubの利用規約違反」によりリポジトリが削除されたことを示すメッセージを表示しました。Microsoftの担当者は後に、無効化は「内部管理上の問題」によるものであり、調査が進行中であると説明しました。 最も注目すべき直接的な影響は、継続的インテグレーションパイプラインの混乱であり、特に「Azure/functions-action」GitHub Actionに影響がありました。このアクションを使用して**Azure Functions**をデプロイしていた開発者は、ワークフローが失敗したため、ダウンタイムと混乱を経験しました。 幸いなことに、影響を受けたすべてのリポジトリはその後復旧され、クリーンで安全に使用できると判断されています。Microsoftはまた、侵害されたリポジトリからコンテンツをプルした可能性のある少数の顧客に通知しており、追加のアクションが必要な場合はさらなる連絡を約束しています。 ### より広範なキャンペーン 6月5日のインシデントは孤立したものではありません。Miasmaキャンペーンは以前にも**Red Hat**に影響を与え、32のnpmパッケージを侵害しました。ソフトウェアサプライチェーン管理企業である**Cloudsmith**は最近のレポートで、GitHub上のMicrosoft Azure環境と「durabletask」リポジトリがMiasmaによって標的になったと結論付けています。 この攻撃は、侵害されたRed Hat従業員のGitHubアカウントを利用して悪意のあるワークフローを注入し、**GitHubのOIDCトークン**を要求したと報告されています。これにより、攻撃者はRed HatのnpmパッケージからMicrosoftのGitHubリソースにピボットすることができました。 このキャンペーンのバリアントである**Shai-Hulud**攻撃も最近**Socket**によって検出され、新しい配信メカニズムを通じて19の科学に焦点を当てた**PyPI**パッケージを標的としていました。**StepSecurity**も、人気のオープンソースAI開発者ツールであるPythagora-io/gpt-pilotに影響を与えたShai-Hulud攻撃を報告しました。 ### サプライチェーンリスクの軽減 これらの継続的な脅威に鑑み、ソフトウェア開発者にはセキュリティ体制の強化が強く推奨されます。主な推奨事項は以下の通りです。 * **プロジェクト依存関係のロック:** 依存関係を特定のバージョンに固定することで、予期しない悪意のある更新を防ぐことができます。 * **複数日の遅延の実装:** 新しいパッケージアップデートの取得に遅延を導入することで、より徹底的なレビューが可能になります。 * **隔離された環境での新規ビルドのテスト:** 新規ビルドをサンドボックス化することで、悪意のあるコードが本番システムに影響を与えるのを防ぐことができます。 これらの対策は、オープンソースエコシステムを標的とするサプライチェーン攻撃の進化する状況から保護するために不可欠です。