GitHub визнав масштабний витік даних: зламано понад 3 800 репозиторіїв

GitHub підтвердила, що приблизно 3 800 внутрішніх репозиторіїв були скомпрометовані після того, як один ізспівробітників встановив шкідливе розширеннядля VS Code.Компанія вже видалила неназване троянське розширення з VS Code Marketplace та забезпечила безпеку скомпрометованого пристрою.

“Учора ми виявили та локалізували компрометацію пристрою співробітника, пов’язану з отруєним розширенням VS Code. Ми видалили шкідливу версію розширення, ізолювали кінцеву точку та негайно розпочали реагування на інцидент”, — повідомила компанія.

Це сталося після того, як GitHub у вівторок увечері повідомила BleepingComputer, що розслідує заяви пронесанкціонованийдоступ до своїх внутрішніх репозиторіїв і додала, що не має доказів впливу на дані клієнтів, що зберігаються поза ураженими репозиторіями.

“Наша поточна оцінка полягає в тому, що активність включала ексфільтрацію лише внутрішніх репозиторіїв GitHub. Поточні заяви зловмисника про 3 800 репозиторіїв загалом узгоджуються з нашими результатами розслідування”.

Хоча GitHub поки що офіційно не атрибутувала атаку, хакерське угруповання TeamPCP заявило про доступ до вихідного коду GitHub і ” приблизно 4 000 приватних репозиторіїв коду” на кіберзлочинному форумі Breached у вівторок, вимагаючи щонайменше $50 000 за викрадені дані.

“Як завжди, це не викуп. Ми не займаємося шантажем GitHub. Один покупець — і ми знищимо дані з нашого боку. Схоже, що наш “вихід на пенсію” вже скоро, тому якщо покупця не знайдуть — ми зіллємо дані безкоштовно”, — заявили кіберзлочинці. “Якщо зацікавлені — надсилайте пропозиції, ми не розглядаємо менше $50k, найкраща пропозиція отримає дані”.

TeamPCP раніше пов’язували з масштабними supply chain атаками на платформи розробки, включно з GitHub, PyPI, NPM і Docker, а також нещодавньою кампанією “Mini Shai-Hulud”, яка також зачепила двох співробітників OpenAI. VS Codeрозширення — це плагіни, які можна встановлюватиз VS Code Marketplace (офіційного магазину доповнень для редактора Microsoft), щоб додавати функції або інтеграції в середовище розробки. Втім, цікаво інше.

“GitHub не назвав скомпрометоване розширення”, — зазначає TechCrunch.

Це не перший випадок, коли троянізовані розширення VS Code з’являлися в магазині: протягом останніх років кілька шкідливих плагінів із мільйонами встановлень використовувалися для викрадення облікових даних розробників та іншої чутливої інформації.

Наприклад, торік розширення VSCode із 9 мільйонами встановлень було видалено через ризики безпеки, а ще 10 інших,які маскувалися під легітимні інструментирозробки, заражали користувачів криптомайнером XMRig.

“Хакери дедалі частіше атакують популярні open-source проєкти, включно з розширеннями для розробки, з метою зараження комп’ютерів програмістів і їхніх проєктів. Атака на популярні проєкти дозволяє зловмисникам отримувати доступ до великої кількості комп’ютерів одночасно, що багаторазово підсилює масштаб атаки”, — пише TechCrunch.

Пізніше того ж року шкідливе розширення з базовими функціями ransomware проникло в VS Code Marketplace після того, як зловмисник під ніком WhiteCobra завалив його 24 криптокрадійними розширеннями. Ще раніше, у січні, два шкідливірозширення, що рекламувалися як AI-асистентидля кодування з 1,5 мільйона встановлень, ексфільтрували дані з уражених систем розробників на сервери в Китаї.

“OpenAI також нещодавно стала ціллю подібної, але окремої атаки, під час якої хакери зламали Tanstack — платформу, яку використовують веб-розробники, — щоб розповсюдити оновлення зі шкідливим кодом, який дозволяв викрадати паролі та токени користувачів”, — додає TechCrunch.

Хмарна платформа GitHub наразі використовується понад 4 мільйонами організацій (включно з 90% Fortune 100) і більш ніж 180 мільйонами розробників, які працюють із понад 420 мільйонами репозиторіїв коду.

Гендиректор GitHub: «Програмування має стати основним предметом в школах»

Джерело:Bleeping Computer