GitHubは、従業員のコンピューターに不正なプラグインが仕込まれたことで、社内リポジトリ約3800件のコードがハッカーに盗まれたと発表した。コード内に保存されたAPIキーの安全性をめぐり、暗号資産業界で警戒が高まっている。
バイナンス創業者のチャンポン・ジャオは、全てのプロジェクトで隠されたキーの有無を確認し、差し替えるよう開発者に呼びかけた。非公開のリポジトリも漏洩したものとして扱う必要があると警告した。
GitHubの公表内容
GitHubによると、侵害は従業員がVS Code拡張機能の不正バージョンをインストールしたことをきっかけに発生した。この拡張機能は、世界中の開発者が利用するコードエディタ向けの小型アドオン。
同社は問題となったコンピューターを隔離し、不正拡張機能を削除した。その後、夜間にかけて重要なパスワードの差し替えを実施した。リスクが最も高い認証情報から順にローテーションした。
現時点の調査では、ハッカーが引き出したのはGitHub自身の社内リポジトリのコードのみとみられる。顧客プロジェクトや組織、アカウントには影響の証拠が確認されていない。
GitHubは、盗まれたリポジトリ約3800件という攻撃者の主張が自社チームの確認内容と一致していると述べた。調査が完了次第、より詳細な報告を行うとしている。
暗号資産開発者が警戒する理由
暗号資産の世界では、APIキーが流出すると数分以内に取引アカウントの資金が引き出される場合がある。多くのAPIキーはウォレットやカストディツール、取引所のボットへのアクセスも可能。そのため、チャンポン・ジャオは即座に警告を発した。
過去にも同様の被害があった。インフラ事業者のVercelで今年発生した侵害事件では、各チームがキーを差し替える事態となった。2022年の3Commas流出では、約10万件のユーザーキーが露呈した。
ビットワーデンのパスワードマネージャーでは別のサプライチェーン攻撃が発生し、ウォレットのシードや開発者トークンが盗まれた。盗まれたデータはGitHubリポジトリ内に隠された。
開発者が非公開キーを、コードやビルドスクリプト、隠された設定ファイル内に残したままにするケースは多い。外部から閲覧できないと考えているためだ。今回のGitHub事例は、社内のシステムも公開システム同様に侵害されうることを示した。
GitHubは自社チームが引き続きログを精査していると説明した。今回盗まれたリポジトリに暗号資産インフラ関連のコードや秘密情報が含まれていたかどうかは、今後数日で明らかになる見通し。
