GitHub сегодня официально подтвердила в посте в X, что тысячи ее внутренних репозиториев были скомпрометированы после того, как устройство одного из сотрудников было взломано через вредоносное расширение Visual Studio Code. Компания заявила, что обнаружила и сдержала инцидент вчера, удалила зараженную версию расширения из VS Code Marketplace, изолировала затронутую конечную точку и немедленно начала внутреннее расследование реагирования на инцидент.
Это раскрытие информации последовало за заявлениями хакерской группы TeamPCP, опубликованными ранее на этой неделе на форуме киберпреступников Breached, о том, что ей удалось получить доступ почти к 4000 частных репозиториев GitHub в результате этого взлома.
Группа утверждала, что эксфильтровала внутренний исходный код и другие конфиденциальные данные, и заявила, что ищет не менее 50 000 долларов от потенциальных покупателей за украденные материалы. «Это не вымогательство», — написала группа в своем посте, добавив, что намерена продать данные, а не шантажировать GitHub напрямую, и пригрозила опубликовать репозитории в открытом доступе, если не найдется покупатель.
Согласно текущей оценке GitHub, активность включала только эксфильтрацию репозиториев, принадлежащих самой GitHub, однако компания заявила, что утверждения злоумышленников о доступе примерно к 3800 репозиториям «направленно согласуются» с обнаруженными на данный момент данными. GitHub также сообщила, что уже сменила критически важные секреты и учетные данные в рамках мер по сдерживанию, продолжая при этом анализировать журналы и отслеживать любые последующие действия.
Ранее TeamPCP связывали с рядом громких кампаний, затрагивающих такие платформы, как GitHub, PyPI, npm и Docker. В то же время вредоносные расширения VS Code в последние годы неоднократно всплывали как все более эффективный вектор для взломов и доставки вредоносного ПО.
Расширения VS Code по сути являются исполняемыми плагинами, встроенными в рабочую среду разработчика, часто имеющими доступ к локальным файлам, терминалам, токенам аутентификации и облачным инструментам. Хотя Microsoft и издатели расширений внедряют различные меры безопасности, разработчики регулярно устанавливают сторонние расширения для отладки, автоматизации, помощи в кодировании с помощью ИИ и интеграции рабочих процессов, что делает эту экосистему все более привлекательной мишенью для злоумышленников, маскирующих вредоносное ПО под легитимные инструменты разработки.
В случае с GitHub скомпрометированное расширение, по сообщениям, дало злоумышленникам плацдарм на устройстве сотрудника, предоставив доступ к внутренним репозиториям и инженерным системам. Это не обязательно означает неограниченный доступ к более широкой платформе GitHub или репозиториям клиентов. Однако внутренние репозитории все еще могут содержать ценные операционные данные, такие как инструменты развертывания, скрипты инфраструктуры, рабочие процессы безопасности, внутренние API и невыпущенные функции продукта. Крупные технологические компании также часто разделяют инфраструктуру на тысячи более мелких репозиториев, что означает, что «3800 репозиториев» не обязательно эквивалентно 3800 основным автономным продуктам.
GitHub заявила, что не имеет доказательств того, что данные клиентов, хранящиеся за пределами затронутых внутренних репозиториев, пострадали, и на данный момент нет никаких признаков того, что публичные репозитории GitHub или частные репозитории пользователей платформы были широко скомпрометированы.
Инцидент подчеркивает растущую волну атак на цепочку поставок программного обеспечения, нацеленных непосредственно на разработчиков и их инструменты, а не на конечных пользователей. Современные среды разработки в значительной степени зависят от сторонних компонентов, включая расширения VS Code, пакеты npm, библиотеки PyPI, контейнеры Docker и инструменты кодирования с поддержкой ИИ, что означает, что компрометация практически любого уровня может раскрыть критически важную инфраструктуру. Ранее в этом году исследователи также обнаружили вредоносные пакеты с использованием невидимых символов Unicode, скрытые в репозиториях GitHub и проектах VS Code, что подчеркивает растущее злоупотребление доверенными средами разработчиков.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Etiido Uko
