github

慢雾 SlowMist は安全警報を発表し、@redhat-cloud-services に関連するソフトウェアパッケージをターゲットとした活発な npm サプライチェーン攻撃を検出しました。現在、31以上のパッケージが影響を受けていることが確認されており、週のダウンロード数は約 116,000 回、300 以上の GitHub リポジトリに盗まれた認証情報が存在します。この攻撃手法は以前の "Shai-Hulud" npm 攻撃と非常に類似しており、認証情報の窃取、悪意のあるリポジトリの作成、自動化された秘密の漏洩が含まれます。現在も新たな疑わしいリポジトリが継続的に出現しており、攻撃が続いていることを示しています。開発者は引き続き感染しています。潜在的な危害には、GitHub/npm トークンの盗難、AWS/GCP/Azure クラウド認証情報の漏洩、SSH キーと Kubernetes 秘密の収集、ローカル環境およびウォレットデータの漏洩、悪意のあるリポジトリの作成および持続的な操作、さらにはトークンが取り消された後に破壊的な行動を引き起こす可能性があります。影響を受けた @redhat-cloud-services パッケージのバージョンを直ちに削除またはダウングレードし、CI/CD ワークフローと依存関係のインストールを全面的に監査し、すべての GitHub、npm、クラウドサービス、SSH およびウォレット関連のキーをローテーションし、ログを保持し、クリーンなイメージから露出した開発者マシンまたは Runner を再構築し、常に高い警戒を維持することをお勧めします。

GoPlusの監視によると、ハッカーグループTeamPCPはGitHub内部の約4000のプライベートリポジトリからソースコードを入手したと主張し、地下フォーラムで5万ドルで販売するとしており、サンプルの検証もサポートしています。誰も購入しなければ、今後このデータが無料で公開される可能性があります。以前の報道によれば、GitHubの公式は今回の「内部リポジトリへの未承認アクセス」問題を調査中であり、GitHubの従業員のデバイスに悪意のあるVS Code/AI Codingプラグインがインストールされている疑いがあります。

慢雾が発表した脅威情報によると、最近複数の高頻度npmパッケージ、AntVやEcharts-for-react、Python SDKのdurabletaskがMini Shai-Hulud「ミニ沙虫」サプライチェーン攻撃を受けました。npmアカウントatoolが侵害され、攻撃者は22分以内に637の悪意のあるバージョンを自動的に公開し、317のパッケージに関与しました。攻撃者は35分以内にdurabletaskの1.4.1、1.4.2、1.4.3バージョンを連続してアップロードし、正常なリリース管理を回避してMicrosoftの公式リリースを偽装しました。GitHubトークンの大規模漏洩事件とGrafana Labsのランサムウェア攻撃は、このサプライチェーン攻撃と関連している可能性が高いです。影響を受けたコンポーネントには、npmエコシステム内のAntV、Echarts-for-reactなどの高頻度コンポーネント、及びPythonパッケージのdurabletask 1.4.1、1.4.2、1.4.3が含まれます。攻撃者はクラウドおよびローカルの認証情報を盗み、内部リポジトリや敏感なクラウドインフラに無許可でアクセスし、開発者のマシンやCI/CDパイプラインに横移動し、漏洩したGitHubトークンを販売・利用し、ランサムウェアやデータ漏洩の脅威を実施することができます。慢雾は、すべての露出した認証情報を直ちにローテーションし、影響を受けたパッケージを置き換え、感染の可能性があるシステムを隔離し、厳格な依存関係のレビュー政策を実施することを推奨しています。以前の報道によれば、「ミニ沙虫」ワームは最近オープンソースコードリポジトリで大規模感染を完了しており、開発者は注意して調査する必要があります。

GitHubは、内部リポジトリへの不正アクセス事件に関する調査の詳細を更新しました：GitHubは昨日、従業員のデバイスが侵害された事件を検出し、制御しました。この事件は、悪意のあるプログラムが埋め込まれたVS Code拡張に関連しています。GitHubは悪意のある拡張を削除し、影響を受けた端末を隔離し、直ちに事件対応を開始しました。現在の評価では、GitHubの内部リポジトリのみがデータ漏洩の影響を受けており、攻撃者が主張する約3800のリポジトリ数は調査結果と大体一致しています。GitHubは重要な認証情報のローテーションを優先し、ログの分析、認証情報のローテーションの検証、及びその後の活動の監視を行っています。調査が完了次第、完全な報告書を発表する予定です。さらに、SlowMistの最高情報セキュリティ責任者23pdsはこの事件について次のように述べています："ネット犯罪フォーラムの情報を分析することで、ハッカーはAnthropicのMythosセキュリティAIを使用して、GitHubの防御を正確に突破し、約4000のコア内部リポジトリを盗み出した可能性があります：その中にはCopilotのソースコード、CodeQLのアルゴリズム、Actionsの実行環境、そして全体の請求システムなどの情報が含まれています。今後、これらのコードを分析することで再度攻撃が行われ、オープンソースコミュニティ全体に深刻なセキュリティ影響を及ぼす可能性があります。"

GitHubが公開した内部コードリポジトリの未承認アクセス事件について、赵长鹏は次のように警告しました："コードにAPIキーが含まれている場合、プライベートリポジトリにあっても、直ちに再確認し、交換するべきです。"

GitHub の公式発表によると、内部コードリポジトリへの不正アクセス事件を調査中です。GitHub は、現在のところ、GitHub プラットフォーム外に保存されている顧客の企業、組織、またはコードリポジトリのデータが影響を受けているという証拠はないと述べていますが、さらなる異常活動が発生しないようにインフラを継続的に監視しています。GitHub は、今後ユーザーデータやサービスに影響があることが確認された場合、既存の事件対応および通知チャネルを通じて顧客に通知すると述べています。

オープンソースデータ可視化ツールGrafanaはXプラットフォームで発表し、最近、無許可の攻撃者がGrafana Labs GitHub環境にアクセスできるトークンを取得し、それを利用してコードリポジトリをダウンロードしたことを発見したと述べています。調査の結果、この事件は顧客データや個人情報の漏洩には関与しておらず、顧客システムやビジネス運営に影響があったことも確認されていません。事件発生後、直ちに証拠分析が開始され、認証情報の漏洩源を特定したと考えられています。また、環境の防護を強化するために追加のセキュリティ対策が講じられました。さらに、Grafanaは攻撃者がコードリポジトリの公開を阻止するために身代金を要求しようとしたことを明らかにしましたが、会社は最終的に身代金の支払いを拒否し、調査が終了した後にさらなる事件の振り返り情報を公開することを決定しました。

テンセントの広報ディレクター、張軍は今日、3月30日に企業微信CLIオープンソースプロジェクトがGitHubコミュニティに上架され、メッセージ、スケジュール、ドキュメント、スマートフォーム、会議、タスク、連絡先などの7つのコア製品機能を開放し、主流のAIAgent（ClaudeCode、Codex、WorkBuddy、QClawなど）の呼び出しをサポートすると発表しました。開発者はこれらの機能に基づいて、AIAgentがより自然な方法で企業微信の機能を理解し、呼び出すことができるようにし、日常のオフィスシーンにより近いAIアプリケーションを迅速に開発できます。

市場の情報によると、安全プラットフォーム OX Security が発表したところによれば、AI エージェントプロジェクト OpenClaw の開発者が暗号通貨フィッシング活動の標的になっているとのことです。攻撃者は偽の GitHub アカウントを作成し、攻撃者が管理するリポジトリで議題を立て、数十名の開発者に @ を付けて、5000 ドルの CLAW トークン報酬を獲得したと主張し、openclaw.ai とほぼ完全に同じクローンサイトに誘導しています。このフィッシングサイトには「ウォレットを接続」するボタンが追加されており、接続されたウォレットの資産を盗むことを目的としています。悪意のあるコードは、深く難読化された JavaScript ファイルに隠されており、証拠分析を妨げるためにブラウザのローカルストレージデータを消去する「nuke」機能を備えています。また、ウォレットアドレスや取引額などの情報をエンコードして C2 サーバーに送信します。研究者は、盗まれた資金を受け取るために使用される疑いのある暗号ウォレットアドレスを特定しました。関連アカウントは先週作成され、数時間以内に削除されましたが、現在確認された被害者はいません。OpenClaw はその高い注目度から詐欺師の標的となっており、その Discord コミュニティも以前に大量の暗号通貨スパムに直面しています。以前の情報では、OpenClaw の創設者が、OpenClaw の名を騙って送信される暗号通貨詐欺メールに警戒するようにと警告しています。

OpenClaw の創設者ピーター・スタインバーガーは、GitHub のセキュリティ脆弱性報告プロセスに多くの問題があると批判する投稿をしました。彼は、現在の脆弱性報告が管理者のみのアクセス権を持っているため、チーム内での効果的な配布と協力処理が難しいと指摘しました。さらに、GitHub の脆弱性報告に関しては API 機能が不足しており、自動化エージェントを通じてコメントを読み取ったり公開したりすることができないため、セキュリティ対応プロセスの自動化能力が制限されています。ピーター・スタインバーガーは、現在の脆弱性報告には大量の AI 生成の低品質なコンテンツが含まれており、選別に数時間を費やす必要があると特に指摘し、セキュリティ処理作業の負担がさらに増加していることを強調しました。

Pump.fun は GitHub のクリエイター料金共有機能の開始を発表しました。ユーザーは現在、Pump.fun モバイルアプリを通じて、クリエイター料金を任意の GitHub アカウントに配分できます。さらなるソーシャル機能が近日中に登場予定です。

ClawdBot（現在は Moltbot に改名）創設者の Peter Steinberger は、ソーシャルメディアで投稿し、GitHub アカウントのハイジャック問題が解決したことを明らかにしました。この問題は個人アカウントにのみ影響を与え、組織アカウントには影響しません。彼は特に、約 20 の偽の X 詐欺アカウントに対してユーザーに警戒するよう呼びかけました。

据澎湃新闻报道，近日有消息称，腾讯已正式向 GitHub（全球最大代码托管与协作平台）发出投诉函，要求下架一批 "允许用户导出或分析自己微信聊天记录" 的开源项目。其中，部分较受关注的项目负责人公开表示，在法律压力下，项目被迫停止维护。腾讯方面回应，部分读取微信聊天记录的开源项目，是通过对微信客户端进行逆向工程等手段，破解本地数据库的密钥，以绕过微信客户端的加密措施，威胁用户本人及第三方数据隐私及客户端安全，且极易被黑灰产利用。

Solanaの共同創設者アナトリー・ヤコヴェンコは、Solana Breakpoint大会で次のように述べました。「私が最も好きな点は、去中心化はリーダーがいないことではなく、リーダーが豊かに現れることです。過去5年間で、多くの人々が立ち上がりました------財団やLabsの人々、そしてこれらの初期組織に全く属さないコミュニティメンバー、アプリケーションやプロトコルの構築者たち------彼らは本当にネットワーク全体のリーダーシップを担っています。今に至るまで、私はGitHubのコミット権限すら持っていませんし、私がステージに上がって話すのにかかった時間はわずか2分です。私の目標は観客席に座ることです------それはネットワーク全体が本当に成熟し、自分自身の生命を持つことを意味していると思います。私はこれを非常に誇りに思っています。」

ChainCatcher のメッセージによると、0xkatz.era は Gitcoin に偽のフィッシング通知が出現したと報告しています。攻撃者は GitHub のネイティブ通知システムを通じて、多くのユーザーにスパムメッセージを送信しました。影響を受けたユーザーは、関連する組織のリンクをクリックすると、ページにアクセスできなくなっていることに気付きました。一部のユーザーは GitHub にこのアカウントと関連する問題を報告し、コミュニティに警戒を呼びかけ、フィッシングリスクを防ぐようにしています。

ChainCatcher のメッセージによると、SlowMist セキュリティチームは、7 月 2 日にある被害者が前日に GitHub にホスティングされているオープンソースプロジェクト ------ zldp2002/solana-pumpfun-bot を使用したところ、暗号資産が盗まれたと報告したと述べています。SlowMist の分析によれば、今回の攻撃事件では、攻撃者が合法的なオープンソースプロジェクト (solana-pumpfun-bot) に偽装し、ユーザーを誘導して悪意のあるコードをダウンロードさせ、実行させました。プロジェクトの人気を高めるという隠れ蓑の下で、ユーザーは何の警戒もせずに悪意のある依存関係を含む Node.js プロジェクトを実行し、ウォレットの秘密鍵が漏洩し、資産が盗まれました。攻撃の全体的なチェーンは、複数の GitHub アカウントが協力して操作し、拡散範囲を広げ、信頼性を高め、非常に欺瞞的です。同時に、この種の攻撃は社会工学と技術的手法の両方を駆使しており、組織内部でも完全に防御することは非常に困難です。SlowMist は、開発者とユーザーに対し、特にウォレットや秘密鍵の操作に関わる場合は、出所不明の GitHub プロジェクトに対して高い警戒心を持つように推奨しています。もしデバッグを実行する必要がある場合は、独立した、敏感なデータがないマシン環境で実行およびデバッグすることをお勧めします。

ChainCatcher のメッセージによると、OpenAI Developers によれば、ChatGPT は現在 GitHub コードリポジトリに接続して深い研究を実行することをサポートしています。ユーザーは質問をし、AI がソースコードや PR 記録を分析し、引用を含む詳細なレポートを生成します。この機能は「deep research → GitHub」エントリを通じて開始され、開発者のコード理解とレビューの効率を向上させることを目的としています。

ChainCatcher のメッセージによると、SlowMist の余弦は X プラットフォームで、GitHub Actions CI/CD メカニズムを利用して Coinbase に対するサプライチェーン攻撃を行ったと発表しました。幸いにも、攻撃は成功しなかったため、次に暴露されるセキュリティ事件は Coinbase に対するものであったでしょう。GitHub 上のサプライチェーン攻撃の経路は次の通りです：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit -> GitHub Personal Access Token（PAT）やクラウドサービスに関連するキーなどを盗む。余弦は、企業が reviewdog または tj-actions を使用している場合は、自己点検を行うべきだと提案しています。