Хакерская группа взломала 3800 внутренних репозиториев GitHub через зараженное расширение для разработчиков

50 минут назад / Технологии → Новости / Технологии

GitHub официально подтвердил в своем посте в X, что тысячи его внутренних репозиториев были взломаны после компрометации устройства сотрудника через вредоносное расширение Visual Studio Code. Компания заявила, что обнаружила и локализовала инцидент вчера, удалила зараженную версию расширения из VS Code Marketplace, изолировала затронутое устройство и немедленно начала внутреннее расследование инцидента.

Это заявление последовало за утверждениями, опубликованными ранее на этой неделе хакерской группой TeamPCP на форуме киберпреступников Breached, о том, что она получила доступ к почти 4000 частных репозиториев GitHub в результате взлома.

Группа утверждала, что похитила внутренний исходный код и другие приватные данные, и заявила, что запрашивает не менее $50 000 (~4 000 000 руб.) от потенциальных покупателей за украденный материал. «Это не выкуп», — написала группа в своем сообщении, добавив, что намерена продать данные, а не вымогать деньги напрямую у GitHub, и пригрозив обнародовать репозитории, если покупатель не найдется.

По текущей оценке GitHub, атака затронула только кражу внутренних репозиториев самой платформы, но компания заявила, что утверждения злоумышленников о доступе примерно к 3800 репозиториям «направленно согласуются» с выводами, полученными на данный момент. GitHub также сообщил, что уже заменил критически важные секреты и учетные данные в рамках мер по сдерживанию, продолжая анализировать логи и отслеживать любую последующую активность.

Ранее TeamPCP была связана с несколькими громкими кампаниями, нацеленными на такие платформы, как GitHub, PyPI, npm и Docker. В то же время вредоносные расширения VS Code в последние годы неоднократно оказывались все более эффективным вектором для взломов и распространения вредоносного ПО.

Расширения VS Code, по сути, являются исполняемыми плагинами, встроенными в рабочую среду разработчика, часто имеющими доступ к локальным файлам, терминалам, токенам аутентификации и облачным инструментам. Хотя Microsoft и издатели расширений внедряют различные меры безопасности, разработчики регулярно устанавливают сторонние расширения для отладки, автоматизации, ИИ-помощи в написании кода и интеграции рабочих процессов, что делает эту экосистему все более привлекательной целью для злоумышленников, маскирующих вредоносное ПО под легитимные инструменты разработки.

В случае с GitHub скомпрометированное расширение, как сообщается, дало злоумышленникам точку опоры на устройстве сотрудника, предоставив доступ к внутренним репозиториям и инженерным системам. Это не обязательно означает неограниченный доступ к более широкой платформе GitHub или репозиториям клиентов. Однако внутренние репозитории все еще могут содержать ценные операционные данные, такие как инструменты развертывания, скрипты инфраструктуры, рабочие процессы безопасности, внутренние API и функции невыпущенных продуктов. Крупные технологические компании также часто разделяют инфраструктуру на тысячи небольших репозиториев, поэтому «3800 репозиториев» не обязательно означают 3800 крупных самостоятельных продуктов.

GitHub заявил, что у него нет доказательств того, что данные клиентов, хранящиеся за пределами затронутых внутренних репозиториев, были скомпрометированы, и в настоящее время нет никаких признаков того, что публичные репозитории GitHub или частные репозитории пользователей платформы были широко раскрыты.

Инцидент подчеркивает растущую волну атак на цепочки поставок программного обеспечения, нацеленных на разработчиков и их инструменты, а не непосредственно на конечных пользователей. Современные экосистемы разработки в значительной степени полагаются на сторонние компоненты, включая расширения VS Code, пакеты npm, библиотеки PyPI, контейнеры Docker и инструменты для написания кода с помощью ИИ, что означает, что компрометация практически на любом уровне может раскрыть критическую инфраструктуру. Ранее в этом году исследователи также обнаружили вредоносные пакеты, использующие невидимые символы Unicode, скрытые в репозиториях GitHub и проектах VS Code, что подчеркивает растущее злоупотребление доверенными экосистемами разработчиков.

Источник: Tomshardware.com