悪意あるRubyパッケージとGoモジュールがCI環境の認証情報を窃取

概要

GitHubアカウント「BufferZoneCorp」によるソフトウェアサプライチェーン攻撃が発見されました。有名なライブラリに似た名前の悪意あるRubyパッケージ6個とGoモジュール9個が配布されていました。Rubyパッケージはインストール時に環境変数やSSH鍵、AWS認証情報、GitHub設定などの認証情報を盗み、攻撃者のサーバーに送信します。Goモジュールはより高度で、GitHub Actions（CI/CDパイプライン）の改ざん、偽のGo実行ファイルの配置、SSH公開鍵の追加による遠隔アクセスが可能です。現在、該当パッケージはRubyGemsから削除され、Goモジュールはブロックされています。開発環境やCI環境を使用するプロジェクトは依存関係を確認し、これらのパッケージが含まれていないか検査する必要があります。

元記事（The Hacker News）