B
今週中
Socket社の研究により、700以上のGitHub公開リポジトリが汚染され、PHP(Packagist)およびNode.jsエコシステムに影響が及んでいること
📌 一言でいうと
Socket社の研究により、700以上のGitHub公開リポジトリが汚染され、PHP(Packagist)およびNode.jsエコシステムに影響が及んでいることが判明しました。攻撃者はGitHubの上流リポジトリを改ざんし、package.jsonのpostinstallスクリプトを悪用して悪意のあるプログラムをダウンロードさせます。この悪意のあるファイルは/tmp/.sshdとして保存され、正当なSSHプロセスを装うことで検知を回避しようとします。
🔍該当判定
- 社内でPHPを用いてシステム開発を行っており、パッケージ管理ツール「Composer」を利用している
- 社内でNode.jsを用いてシステム開発を行っており、パッケージ管理ツール「npm」や「yarn」を利用している
- GitHub上の公開リポジトリからライブラリやソースコードを直接ダウンロードして利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Composerの設定を確認し、package.json、GitHub Actionsのワークフロー、および追跡しているブランチのバージョンを精査して、不審なpostinstallスクリプトが含まれていないか確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHubリポジトリ汚染によるサプライチェーン攻撃への対応について
お疲れさまです。GitHub上の公開リポジトリを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
攻撃者が700以上のGitHubリポジトリを汚染し、PHP (Packagist) および Node.js のエコシステムに悪意のあるコードを混入させています。package.json の postinstall スクリプトを悪用してマルウェアを配布し、/tmp/.sshd というファイル名で正当なプロセスを装い動作させる仕組みです。
■ 影響範囲
- PHP (Packagist) および Node.js を利用した開発環境
- 汚染された上流リポジトリを追跡しているパッケージ
■ 対応手順
1. 利用しているパッケージの package.json 内に不審な postinstall スクリプトが存在しないか確認する。
2. GitHub Actions のワークフローおよびブランチ追跡設定をレビューし、意図しないコードの混入がないか検証する。
3. システム内で /tmp/.sshd という不審なファイルが生成されていないか確認する。
■ 参考情報
- Socket Security Research
対応優先度: 高
対応期限: 速やかに確認を推奨
お疲れさまです。GitHub上の公開リポジトリを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
攻撃者が700以上のGitHubリポジトリを汚染し、PHP (Packagist) および Node.js のエコシステムに悪意のあるコードを混入させています。package.json の postinstall スクリプトを悪用してマルウェアを配布し、/tmp/.sshd というファイル名で正当なプロセスを装い動作させる仕組みです。
■ 影響範囲
- PHP (Packagist) および Node.js を利用した開発環境
- 汚染された上流リポジトリを追跡しているパッケージ
■ 対応手順
1. 利用しているパッケージの package.json 内に不審な postinstall スクリプトが存在しないか確認する。
2. GitHub Actions のワークフローおよびブランチ追跡設定をレビューし、意図しないコードの混入がないか検証する。
3. システム内で /tmp/.sshd という不審なファイルが生成されていないか確認する。
■ 参考情報
- Socket Security Research
対応優先度: 高
対応期限: 速やかに確認を推奨
Subject: [Alert] Supply Chain Attack via Contaminated GitHub Repositories
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting public GitHub repositories.
■ Overview
Attackers have contaminated over 700 GitHub repositories, impacting the PHP (Packagist) and Node.js ecosystems. The attack leverages the 'postinstall' mechanism in package.json to download and execute malware, which masquerades as a legitimate SSH process by saving itself as /tmp/.sshd.
■ Scope
- Development environments using PHP (Packagist) and Node.js.
- Packages tracking contaminated upstream repositories.
■ Mitigation Steps
1. Audit package.json files for suspicious postinstall scripts.
2. Review GitHub Actions workflows and branch tracking configurations to ensure code integrity.
3. Scan systems for the presence of the malicious file /tmp/.sshd.
■ Reference
- Socket Security Research
Priority: High
Deadline: Immediate review recommended
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting public GitHub repositories.
■ Overview
Attackers have contaminated over 700 GitHub repositories, impacting the PHP (Packagist) and Node.js ecosystems. The attack leverages the 'postinstall' mechanism in package.json to download and execute malware, which masquerades as a legitimate SSH process by saving itself as /tmp/.sshd.
■ Scope
- Development environments using PHP (Packagist) and Node.js.
- Packages tracking contaminated upstream repositories.
■ Mitigation Steps
1. Audit package.json files for suspicious postinstall scripts.
2. Review GitHub Actions workflows and branch tracking configurations to ensure code integrity.
3. Scan systems for the presence of the malicious file /tmp/.sshd.
■ Reference
- Socket Security Research
Priority: High
Deadline: Immediate review recommended