Gentoo LinuxのGitHubアカウントを乗っ取りマルウェアコードを注入

f:id:nanashi0x:20180630200349p:plain

thehackernews.com

6/28(木)、Gentoo Linuxが所有するGitHubアカウントが悪意を持つ何者かに乗っ取られた事がわかった。

Gentoo LinuxディストリビューションGitHubアカウントへのアクセスを管理していた個人が元のソースコードを悪意のあるコードに置き換えたのだ。

 

この記事では、事の顛末について簡単に解説していく。

 

GentooLinuxとは

Gentooは、Portageパッケージ管理システムを使ってビルドされたFreeBSDベースのLinuxディストリビューションである。

他のLinuxディストロよりも柔軟性が高く、保守が容易で移植性がある事で知られている。

Protageのカスタマイズ性の高さから、Google Chrome OSの基盤となるディストリビューションにも選ばれた。

 

Gentooの完全性を脅かすイタズラ

Gentoo Linuxディストリビューションの開発者は、同社のウェブサイトでセキュリティアラートを公開した。

f:id:nanashi0x:20180630162337p:plain

(GentooLinuxの公式ページに掲載されたセキュリティアラート。)

 

Gentooの公表によれば、UTCの20:20に6月28日時点で、「不審人物」がアカウントのコントロール権を持っていたようだ。

Gentoo開発者は、ユーザーに対してGitHubアカウントのコードを使用しないよう警告。

「不審人物」はレポジトリページだけでなく、Webページの外観まで変更したとされる。

Gentoo開発者の一人であるFrancisco Blas Izquierdo Rieraは以下のように語る。

攻撃者はGentoo Github組織を支配した後、portageとmusl-devのツリーを、すべてのファイルを削除しようとするebuildの悪意のあるバージョンに置き換えた。

 

Ebuildとは、Gentoo Linuxプロジェクトによって作成されたbashスクリプトである。

Ebuildを使うことによって、ソフトウェアパッケージのコンパイルとインストールの手順を自動化し、プロジェクトのポータルソフトウェア管理システムを簡単に行えるようになる。

Gentooのページでは、以下のように警告がされている。

GitHubでホストされているすべてのGentooのコードは、しばらくは「不審人物」によって細工が施されたと思った方がいいだろう

しかし、その一方で、Gentooは、Gentooの公式サイトやミラーダウンロードサーバー上でホストされているコードには「不審人物」による変更が無かった為、gentoo.orgのrsyncやwebrsyncを使用している限りは、インシデントの影響はないと公表した。

補足すると、マスターGentoo ebuildリポジトリは独自の公式ポータルでホストされており、今回改ざんされたGithubアカウントで公開されているのはミラーなのだ。

Gentoo開発者は以下のように語る。

メタデータを含むgentoo-mirrorリポジトリは別々のGithubでホストされており、影響範囲は小さい。Gentooによるはすべて署名されているので、git使用時には署名の完全性を検証する必要がある。

 

サプライチェーンアタックという見方も

セキュリティ研究者のKevin Bbeaumont氏は、自身のツイッターで以下のように語っている。

 

以下、当該ツイートの翻訳である。

経過観察をしていて感じたのは、サプライチェーン攻撃と呼べるだろう。攻撃者が狙ったターゲットは、Gentooのユーザーというよりかは、GentooGitHubソースから埋め込みシステムを作ったユーザーだろう。攻撃者によって仕組まれたコードは、muslをターゲットにしており、悪意のあるコードが実行されればデバイスのデータを削除できるからだ。(例えば、GoogleGentooを使用している)

 

アカウントは奪取したがインストールは当面控えるべき

その後、Gentooによる公表Gentoo Github Organizationの管理を取り戻した。

Gentooが有するGithubコードの使用を控えておくようアドバイスしている。GentooGitHubと協力してどのタイミング何が発生したかタイムラインを究明しているという。

今回の公式サイトではなく、GitHubからGentoo Linuxイメージをダウンロードした方は、コンテンツをバックアップし、GentooOSをクリーンインストールを強くお勧めしたい。

 

(This article is originally written in TheHackerNews as "Github Account of Gentoo Linux Hacked, Code Replaced With Malware" and translated & modified by Yukio Ichinose (@0x31_nose)