概要
xygeni-action は Xygeni Scanner の GitHub Action です。2026年3月3日、漏洩 した 認証 情報 を 使用 した 攻撃者 が、action.yml に 難読化 された シェルコード を 注入 する PR(#46, #47, #48)を 作成 しました。これら の PR は ブランチ 保護 ルール に より マージ されません でしたが、攻撃者 は 漏洩 した GitHub App 認証 情報 を 使い、mutable な v5 タグ を マージ されて いない PR の 悪意 ある コミット に 移動 させました。
@v5 を 参照 する ワークフロー は この 悪意 ある コミット を フェッチ して 実行 する 状態 と なり、影響 期間(約 3月3日〜10日)中 の ワークフロー 実行 ごと に 最大 180秒間、攻撃者 に 任意 コマンド 実行 を 許す C2 インプラント が 動作 しました。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 (Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
| CWE | CWE-506 (組み込み悪意あるコード) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| xygeni-action | Xygeni | @v5(影響期間: 2026年3月3日〜10日) |
修正 バージョン と 回避策
- 修正方法: v5 タグ は 正規 の コミット に 戻されて います。最新 の @v5 を 使用 すれば 問題 は 解消 されて います
- 推奨対策: GitHub Actions の アクション 参照 に は mutable な タグ(@v5 等)では なく、コミット SHA の フルハッシュ を 使用 する こと を 推奨 します
- 影響 を 受けた 場合: 影響 期間 に ワークフロー を 実行 して いた 場合、以下 を 確認 して ください
- GitHub Actions の シークレット を すべて ローテーション
- ワークフロー 実行 ログ の 監査
- 成果物(ビルド アーティファクト、デプロイ 先)の 整合性 確認
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。