GitHub став жертвою атаки хакерів: тисячі проєктів зламані через неуважність працівника

GitHub офіційно підтвердив факт серйозного інциденту в системі безпеки, який призвів до компрометації тисяч внутрішніх репозиторіїв. Причиною витоку конфіденційної інформації стала необачність одного зі співробітників компанії, що призвело до несанкціонованого доступу з боку зовнішніх зловмисників.

Платформа для розробників GitHub, яка є ключовим інструментом для мільйонів програмістів по всьому світу, зіткнулася з інцидентом внутрішньої безпеки. Як пише виданняBleepingComputer, компанія офіційно підтвердила факт несанкціонованого доступу до значної кількості своїх проєктів.

АктуальноТисячі людей встановили фейкові розширення в Chrome і втрачають дані: перевірте, чи ви серед них

Причиною інциденту стала неуважність одного зі співробітників, який встановив шкідливе розширення для популярного редактора кодуVisual Studio Code (VS Code). Такі програми зазвичай призначені для покращення функціональності програми та спрощення роботи, але в цьому випадку воно виявилося троянським конем. Після встановлення шкідливе доповнення, ймовірно, надало зловмисникам доступ до внутрішніх систем компанії.

Внаслідок цього кіберінциденту було скомпрометовано близько 3800 внутрішніх репозиторіїв. Репозиторій – це, по суті, сховище, де зберігаються вихідний код, документація та всі файли, пов'язані з певним проєктом. Хоча компанія не уточнила, яка саме інформація містилася в цих репозиторіях, злам такої кількості внутрішніх проєктів є серйозною загрозою безпеці.

Компанія миттєво відреагувала на загрозу, щойно її виявили. Зловмисне розширення, назва якого не розголошується, було видалено з маркетплейсу VS Code, а пристрій співробітника – ізольовано.

Учора ми виявили та локалізували компрометацію пристрою співробітника, пов'язану з зараженим розширенням VS Code. Ми видалили шкідливу версію розширення, ізолювали кінцеву точку та негайно розпочали реагування на інцидент,– офіційно прокоментували в компаніїGitHub.

За попередніми даними розслідування, атака торкнулася виключно внутрішніх сховищ GitHub. Поки що немає жодних доказів того, що дані клієнтів, які зберігаються поза межами постраждалих репозиторіїв, постраждали.

Наша поточна оцінка полягає в тому, що активність стосувалася лише ексфільтрації внутрішніх репозиторіїв GitHub. Поточні заяви зловмисників про приблизно 3 800 репозиторіїв за напрямком узгоджуються з нашим розслідуванням на цей час,– додали представники платформи.

Відповідальність за злам взяло на себе хакерське угрупованняTeamPCP. На відомому кіберзлочинному форумі Breached вони заявили про доступ до кодуGitHubі запропонували купити викрадені дані щонайменше за 50 000 доларів. Зловмисники підкреслили, що не мають на меті шантажувати компанію.

Як завжди, це не викуп, нас не цікавить вимагання коштів у Github. Один покупець – і ми знищуємо дані зі свого боку. Схоже, що наша пенсія вже скоро, тому, якщо покупця не знайдуть, ми оприлюднимо їх безплатно,– заявили кіберзлочинці, додавши, що найкраща пропозиція отримає повний доступ до інформації.

Заява хакерів / Скриншот BleepingComputer

Група TeamPCP вже не вперше фігурує у звітах з кібербезпеки:

Зараз GitHub активно працює над мінімізацією ризиків. Фахівці компанії провели ротацію критично важливих секретних ключів, приділивши особливу увагу тим обліковим даним, які мають найбільший вплив на систему.

Процес аналізу логів та моніторингу триває, щоб запобігти будь-якій подальшій активностіхакерів. Повний звіт про інцидент обіцяють опублікувати після завершення розслідування.

Дивіться такожІранські хакери атакували провідного південнокорейського виробника електроніки

Цей інцидент знову підняв питання безпеки розширень у магазині VS Code Marketplace. Згідно з нашим аналізом, це далеко не перший випадок, коли через офіційний магазин Microsoft розповсюджувалося шкідливе програмне забезпечення.

На сьогодні хмарна платформа GitHub є критично важливою інфраструктурою для всього світу. Нею користуються понад 4 мільйони організацій, включаючи 90 відсотків компаній зі списку Fortune 100, та понад 180 мільйонів розробників, які працюють над більш ніж 420 мільйонами репозиторіїв.

Цей випадок у цілому є тривожним нагадуванням про те, наскільки вразливою може бути навіть інфраструктура технологічних гігантів. Атака через шкідливе розширення для широко використовуваного інструменту розробки, як-от VS Code, демонструє один із найнебезпечніших векторів атак – так звану атаку на ланцюжок постачання програмного забезпечення. Зловмисники все частіше націлюються не на самі компанії, а на інструменти, якими користуються їхні співробітники.

Для всієї ІТ-галузі та для кожного окремого розробника це слугує важливим уроком. Необхідно з надзвичайною обережністю ставитися до встановлення будь-яких сторонніх доповнень і розширень, навіть якщо вони походять з офіційних магазинів. Ретельна перевірка, мінімізація кількості встановлених інструментів та підвищення обізнаності про кібербезпеку серед персоналу стають критично важливими для захисту від подібних інцидентів у майбутньому.

Атаки через розширення для браузерів та редакторів коду стали поширеним явищем. Зловмисники часто маскують шкідливий код під корисні інструменти, використовуючи популярні теми, як-от штучний інтелект, для заманювання користувачів. Наприклад, раніше була викрита ціла кампанія з понад 30 фейкових розширень для Google Chrome, які видавали себе за AI-асистентів. Ці додатки, встановлені понад 300 тисячами користувачів, насправді викрадали вміст відвіданих сторінок та навіть перехоплювали листування в Gmail.

Небезпека полягає в тому, що навіть розширення з високим рейтингом та мільйонами завантажень можуть становити загрозу. Так, популярний інструментUrban VPN Proxy після одного з оновлень почав таємно збиратирозмови користувачів з AI-чатами, такими як ChatGPT та Gemini, і передавати їх сторонній компанії. В інших випадках вразливості в розширеннях призводять до прямих фінансових збитків, як це сталося з користувачамикриптогаманця Trust Wallet, де через проблему в браузерній версії було викрадено 7 мільйонів доларів.

Особливу небезпеку такі атаки становлять для IT-компаній та розробників, адже компрометація їхніх акаунтів може призвести до витоку коду. Цінність такої інформації демонструє випадок з компанією Anthropic, якавипадково оприлюднила сотні тисяч рядків коду свого інструмента Claude Code, що дало конкурентам та дослідникам унікальну можливість зазирнути у внутрішню логіку продукту. Розуміючи це, зловмисники цілеспрямовано атакують розробників, використовуючи для цього навіть саму платформу GitHub.

В одній з кампанійхакери створювали фальшиві сторінки популярних програм на GitHub, щоб змусити користувачів macOS завантажити вірус-викрадач, здатний викрадати паролі та дані криптогаманців.