GitHub підтвердив компрометацію 3 800 внутрішніх репозиторіїв
GitHub підтвердив компрометацію 3 800 внутрішніх репозиторіїв через шкідливе розширення VS Code
GitHub офіційно підтвердив, що близько 3 800 внутрішніх репозиторіїв були скомпрометовані після того, як один із співробітників встановив шкідливе розширення для Visual Studio Code. Компанія видалила троянське розширення з VS Code Marketplace та ізолювала заражений пристрій.
Як відбувся інцидент
«Учора ми виявили та локалізували компрометацію пристрою співробітника, пов’язану з отруєним розширенням VS Code. Ми видалили шкідливу версію розширення, ізолювали кінцеву точку та негайно розпочали реагування на інцидент», — повідомили в GitHub.
Раніше компанія повідомила BleepingComputer, що розслідує несанкціонований доступ до внутрішніх репозиторіїв, але не виявила доказів впливу на дані клієнтів, які зберігаються поза ураженими сховищами.
«Наша поточна оцінка полягає в тому, що активність включала ексфільтрацію лише внутрішніх репозиторіїв GitHub. Поточні заяви зловмисника про 3 800 репозиторіїв загалом узгоджуються з нашими результатами розслідування», — зазначили в компанії.
Хто стоїть за атакою?
Хоча GitHub офіційно не назвав винуватців, хакерське угруповання TeamPCP заявило про доступ до вихідного коду платформи та «приблизно 4 000 приватних репозиторіїв коду» на кіберзлочинному форумі Breached. Зловмисники вимагають щонайменше $50 000 за викрадені дані, погрожуючи опублікувати їх безкоштовно, якщо покупця не знайдуть.
«Як завжди, це не викуп. Ми не займаємося шантажем GitHub. Один покупець — і ми знищимо дані з нашого боку. Схоже, що наш “вихід на пенсію” вже скоро, тому якщо покупця не знайдуть — ми зіллємо дані безкоштовно», — заявили хакери.
TeamPCP раніше пов’язували з масштабними supply chain-атаками на платформи розробки, зокрема GitHub, PyPI, NPM та Docker. Останньою їхньою кампанією стала «Mini Shai-Hulud», яка торкнулася й двох співробітників OpenAI.
Чому розширення VS Code стали мішенню?
Розширення для Visual Studio Code — це плагіни, які додають нові функції або інтеграції в середовище розробки. Вони встановлюються з офіційного VS Code Marketplace, що робить їх привабливою ціллю для зловмисників.
GitHub не розкрив назву скомпрометованого розширення, проте такі випадки не поодинокі. За останні роки кілька шкідливих плагінів із мільйонами встановлень використовувалися для викрадення облікових даних розробників та іншої чутливої інформації.
- У 2023 році розширення з 9 мільйонами встановлень було видалено через ризики безпеки.
- Ще 10 шкідливих розширень, які маскувалися під легітимні інструменти, заражали користувачів криптомайнером XMRig.
- У січні 2024 року два розширення з 1,5 мільйона встановлень, що рекламувалися як AI-асистенти для кодування, викрадали дані на сервери в Китаї.
- Пізніше того ж року зловмисник під ніком WhiteCobra завантажив до Marketplace 24 криптокрадійні розширення, одне з яких мало базові функції ransomware.
Чому хакери атакують open-source проєкти?
«Хакери дедалі частіше атакують популярні open-source проєкти, включно з розширеннями для розробки, з метою зараження комп’ютерів програмістів і їхніх проєктів. Атака на популярні проєкти дозволяє зловмисникам отримувати доступ до великої кількості комп’ютерів одночасно, що багаторазово підсилює масштаб атаки», — пояснюють експерти.
Окремий випадок торкнувся й OpenAI: хакери зламали платформу Tanstack, яку використовують веб-розробники, щоб розповсюдити оновлення зі шкідливим кодом для викрадення паролів і токенів.
Масштаби платформи GitHub
Хмарна платформа GitHub наразі використовується понад 4 мільйонами організацій, зокрема 90% компаній зі списку Fortune 100. На ній працюють понад 180 мільйонів розробників, які підтримують більше 420 мільйонів репозиторіїв коду.
