Bleeping Computerは11月16日、「GitHub projects targeted with malicious commits to frame researcher」において、AI技術のスタートアップ企業である「Exo Labs」のGitHubリポジトリが悪意あるコミットの標的になったとして、その詳細をレポートした。

同社のGitHubリポジトリに届いたプルリクエストは、一見無害に見えるが、実際には特定のWebサイトから悪意のあるペイロードをダウンロードするコードが含まれていたという。

  • GitHub projects targeted with malicious commits to frame researcher

    GitHub projects targeted with malicious commits to frame researcher

目的は中傷か?指定ドメインにペイロードは存在せず

近年、オープンソースプロジェクトのポジトリを標的としてソフトウェアに悪意のあるコードを紛れ込ませようとするサプライチェーン攻撃が増加している。記憶に新しいのは、圧縮ツール「xz」のコードにsshを利用するバックドアが仕掛けられた事件だろう。

この事件は、その手口の巧妙さや、xzが非常に幅広く使われる人気ツールだったことによって、業界に大きな衝撃と影響を与えた(参考記事: 圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに | TECH+(テックプラス))。

Exo LabsのGitHubリポジトリが攻撃された事件は、同社の共同創設者であるAlex Cheema氏によって明らかにされた。同社のコードベースにあるPythonファイルに対して一連の数字を追加するプルリクエストが送られたが、この一連の数字をUnicodeでデコードした結果、外部サイトからペイロードをダウンロードするPythonコードスニペットであることが判明したという。

このドメインの持ち主はセキュリティ研究者のMike Bell氏であり、プルリクエストを送ったGitHubユーザー(すでに削除済み)のユーザー情報も犯人がMike Bell氏であることを示唆しているとのこと。しかし、Mike Bell氏は関与を否定しており、「何者かが自分になりすまして名誉を傷つけようとした」と主張している。実際、該当するドメインにはペイロードは存在していなかった。

BleepingComputerでは、他のGitHubリポジトリに対しても同氏になりすましたアカウントによる不審なコミットがあったことを伝え、この事件は確かにMike Bell氏を中傷する目的であった可能性が高いと報じている。

Exo Labsに対する攻撃は大きな被害にはつながらなかったものの、同様の攻撃が比較的簡単に行えてしまう点については、すべてのプロジェクトの管理者が意識するべきことだろう。BleepingComputerでは、受信したプルリクエストに対しては、たとえ善意のコントリビューターによるコミットだったとしても、自動化ツールと人間によるコードレビューを通じて注意深く精査するべきだと警鐘を鳴らしている。