セキュリティインシデント

GitHubは、内部リポジトリへの不正アクセス事件に関する調査の詳細を更新しました：GitHubは昨日、従業員のデバイスが侵害された事件を検出し、制御しました。この事件は、悪意のあるプログラムが埋め込まれたVS Code拡張に関連しています。GitHubは悪意のある拡張を削除し、影響を受けた端末を隔離し、直ちに事件対応を開始しました。現在の評価では、GitHubの内部リポジトリのみがデータ漏洩の影響を受けており、攻撃者が主張する約3800のリポジトリ数は調査結果と大体一致しています。GitHubは重要な認証情報のローテーションを優先し、ログの分析、認証情報のローテーションの検証、及びその後の活動の監視を行っています。調査が完了次第、完全な報告書を発表する予定です。さらに、SlowMistの最高情報セキュリティ責任者23pdsはこの事件について次のように述べています："ネット犯罪フォーラムの情報を分析することで、ハッカーはAnthropicのMythosセキュリティAIを使用して、GitHubの防御を正確に突破し、約4000のコア内部リポジトリを盗み出した可能性があります：その中にはCopilotのソースコード、CodeQLのアルゴリズム、Actionsの実行環境、そして全体の請求システムなどの情報が含まれています。今後、これらのコードを分析することで再度攻撃が行われ、オープンソースコミュニティ全体に深刻なセキュリティ影響を及ぼす可能性があります。"

オープンソースデータ可視化ツールGrafanaは、5月16日のセキュリティインシデント調査の最新の進展を発表しました。調査によると、このインシデントはGrafana LabsのGitHub環境に限定されており、公開およびプライベートのソースコードや内部GitHubリポジトリが含まれていますが、顧客の生産システム、運用、またはGrafana Cloudプラットフォームには影響を与えていません。ダウンロードされた内容にはソースコードの他に、チームが内部運用情報やビジネスの詳細を協力して保存するために使用するリポジトリが含まれており、ビジネスの連絡先名やメールアドレスが含まれていますが、生産システムやクラウドプラットフォームからのデータではありません。Grafana Labsは、コードベースがダウンロードされたが改ざんされていないことを明確に述べており、現在顧客やオープンソースユーザーは何らかの行動を取る必要はありません。このインシデントは、Mini Shai-Hulud運動を通じて行われたTanStack npmサプライチェーン攻撃に起因しています。Grafana Labsは5月11日に悪意のある活動を検出し、緊急対応を開始しましたが、1つの資格情報を見逃したために攻撃者がアクセス権を得てしまいました。5月16日に身代金要求を受けた後、会社は身代金を支払わないことを決定し、自動化された資格情報をローテーションし、監視を強化し、5月11日以降のすべてのコミットを監査し、GitHubのセキュリティ設定を大幅に強化しました。会社は連邦捜査機関に通知し、調査は現在も進行中です。

PeckShieldはXプラットフォームで発表し、2026年2月から5月中旬にかけて、暗号業界で少なくとも8件の重大なクロスチェーンブリッジに関連するセキュリティ事件が発生し、攻撃者はクロスチェーンプロトコルから約3.286億ドルの資産を盗み取ったと述べています。PeckShieldは、クロスチェーンインフラが依然として現在のハッカー攻撃の高頻度のターゲットであり、関連するリスクがマルチチェーンエコシステムの拡大の背景の中で引き続き顕在化していることを指摘しています。

L1 ブロックチェーン TAC チームは、以前のクロスチェーン層のセキュリティ事件により約 280 万ドルの資産が移転されたことを確認したと発表しました。これには USDT、BLUM、tsTON などの資産が含まれます。TAC は、攻撃者が関連資金を指定されたマルチシグアドレスに返還すれば、チームはこの事件を「ホワイトハット救助」と見なし、ETH/BSC、ZEC、TON アドレスに関与するオペレーターに対して法的措置を取らないと述べています。報酬として、攻撃者は約 10% の報酬を受け取ることができ、約 13 枚の ETH と 300 枚の ZEC に相当します。

フロントエンドクラウドプラットフォーム Vercel の CEO Guillermo Rauch はツイートで、チームが深刻なセキュリティ調査を完了し、分析範囲が約 1 PB の完全な Vercel ネットワークおよび API ログに及ぶことを報告しました。これは最初の Context.ai アカウント侵害事件をはるかに超えています。調査によると、攻撃者の活動範囲は Context.ai を超え、より広範囲にわたってマルウェアを配布しており、Vercel などのプラットフォームのアカウントキーを盗むことを目的としています。キーを取得すると、攻撃者は迅速かつ包括的に非機密環境変数を列挙します。現在講じられている対策には、Microsoft、AWS、Wiz などの業界パートナーとの協力を深め、より広範なインターネットエコシステムを共同で保護することが含まれています。また、他の疑わしい被害者に通知し、直ちに認証情報をローテーションし、セキュリティのベストプラクティスを強化することを推奨しています。

Vercelはセキュリティ事件の分析を発表し、内部システムの一部が未承認のアクセスを受けたと述べています。その原因は、従業員が使用していた第三者のAIツールContext.aiが侵害され、攻撃者がこれを利用してGoogle Workspaceアカウントを乗っ取り、一部の環境設定データにアクセスしたことです。初期の影響として、少数の顧客の「敏感」としてマークされていない環境変数（APIキー、トークンなど）が漏洩する可能性があり、関連するユーザーには通知され、すぐに認証情報をローテーションするように推奨されています。現在、「敏感」としてマークされたデータやサプライチェーン（npmパッケージなど）が改ざんされたという証拠はありません。Vercelは、攻撃者が高い技術レベルを持っていると述べ、Mandiantおよび複数のセキュリティ機関と連携して調査を行っており、法執行機関にも報告しています。同時に、プラットフォームサービスは正常に稼働していると強調しています。また、ユーザーには多要素認証を有効にし、潜在的に漏洩した環境変数を全面的にローテーションし、アカウントの活動ログやデプロイ記録を確認してさらなるリスクを防ぐように推奨しています。

Resolv Labsは安全事件についての更新を発表し、悪意のある攻撃者が盗まれた秘密鍵を通じてResolvのインフラに不正アクセスし、約8000万ドルの担保なしUSRを鋳造したと述べています。関連するスマートコントラクトは迅速に停止され、攻撃者が保有していた約900万USRは潜在的な影響を軽減するために破棄されました。現在、プロトコルは約1.41億ドルの資産を保有しており、確認された実際の影響は停止前に処理された約50万ドルの償還のみです。現在のUSR供給量は、事件前の1.02億枚と約7100万枚の新たに鋳造された不正トークンで構成されています。復旧の第一歩として、Resolvは2026年3月23日からホワイトリストユーザーから始めて、事件前のUSRの償還を許可する計画です。影響を受けたユーザーは公式チャネルを通じて直接RDALと調整する必要があります。発表によると、この事件は第三者の無許可の行為に起因しており、標的を絞ったインフラ攻撃が含まれています。Resolvの基礎担保は直接的な損害を受けていません。チームは不正に鋳造されたUSRおよびその他の影響を受けた資産を追跡し、制御しようとしており、パートナーや対抗者と調整し、法執行機関やオンチェーン分析会社と協力して責任者を追及しています。Resolvは、復旧措置が実施されている間はUSRまたは関連するResolvトークンの取引を行わないことを強く推奨しています。事件後のユーザーの取引行動は復旧プロセスに影響を与える可能性があります。

ChainCatcher のメッセージによると、PeckShield の警告により、通貨市場プロトコル CrediX の公式 X アカウント（@CrediX_fi）が現在無効化されています。以前、CrediX でセキュリティ事件が発生し、約 450 万ドルの損失が出ました。

ChainCatcher のメッセージ、Echo Protocol チームメンバー @jonphayyy が投稿したところによると、プロジェクトの公式 X プラットフォームアカウントが侵害されており、現在公開されている異常な内容はチームによるものではないため、ユーザーは関連リンクをクリックしたり、対話したりしないようにしてください。チームは、この事件がユーザーの資金やデータに影響を与えていないことを述べており、プロトコル自体は引き続き完全に安全であるとしています。Echo Protocol は X プラットフォームと協力してアカウントの回復を進めており、ユーザーに対して疑わしい内容を発見した場合は通報を協力して行うように呼びかけています。

ChainCatcher のメッセージによると、SlowMist の余弦は X プラットフォームで、GitHub Actions CI/CD メカニズムを利用して Coinbase に対するサプライチェーン攻撃を行ったと発表しました。幸いにも、攻撃は成功しなかったため、次に暴露されるセキュリティ事件は Coinbase に対するものであったでしょう。GitHub 上のサプライチェーン攻撃の経路は次の通りです：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit -> GitHub Personal Access Token（PAT）やクラウドサービスに関連するキーなどを盗む。余弦は、企業が reviewdog または tj-actions を使用している場合は、自己点検を行うべきだと提案しています。

ChainCatcher のメッセージによると、io.net の共同創設者兼 CEO の Ahmad Shadid が投稿し、最近、メタデータ API への不正アクセスが発生し、ユーザーのフロントエンドに表示されるメタデータに影響を与えたことを明らかにしました。GPU アクセス権は漏洩しておらず、敏感なユーザーやデバイスデータも公開されていません。この事件を受けて、io.net は OKTA のユーザーレベルの認証統合の展開を加速しており、この展開は今後 6 時間以内に完了する予定です。さらに、io.net は Auth0 トークンを導入してユーザー認証を行い、不正なメタデータの変更を防止します。データベースの復旧中、ユーザーは一時的にログインできなくなります。すべての正常な稼働時間の記録には影響がなく、これによりベンダーの計算報酬にも影響はありません。

ChainCatcher のメッセージによると、マイクロソフトは公式ウェブサイトで安全報告を発表し、DEV-0139 としてマークされたハッカーが暗号業界の企業に対して標的攻撃を行っていると述べています。報告によると、ハッカーはテレグラムグループを通じて攻撃対象を特定し、暗号投資会社の代表を装って初期の信頼を得た後、攻撃対象に対して被害者のシステムにリモートアクセスできる悪意のあるコードを含む Excel ファイルを送信し、攻撃を開始します。（出典リンク）