GitHub визнав масштабний витік даних: зламано 3 800 репозиторіїв

GitHub подтвердила, что примерно 3 800 внутренних репозиториев были скомпрометированы после того, как один из сотрудников установил вредоносное расширение. Компания уже удалила неназванное троянское расширение с VS Code Marketplace и обеспечила безопасность скомпрометированного устройства.

«Вчера мы обнаружили и локализовали компрометацию устройства сотрудника, связанную с отравленным расширением VS Code. Мы удалили вредоносную версию расширения, изолировали конечную точку и немедленно начали реагирование на инцидент», — сообщила компания.

Это произошло после того, как GitHub во вторник вечером сообщила BleepingComputer, что расследует заявления о несанкционированном доступе к своим внутренним репозиториям и добавила, что не имеет доказательств влияния на данные клиентов, хранящиеся вне пораженных репозиториев.

«Наша текущая оценка заключается в том, что активность включала эксфильтрацию только внутренних репозиториев GitHub. Текущие заявления злоумышленника о 3 800 репозиториев в целом согласуются с нашими результатами расследования».

Хотя GitHub пока официально не атрибутировала атаку, хакерская группировка TeamPCP заявила о доступе к исходному коду GitHub и «примерно 4 000 частных репозиториев кода» на киберпреступном форуме Breached во вторник, требуя по меньшей мере $50 000 за похищенные данные.

«Как всегда, это не выкуп. Мы не занимаемся шантажом GitHub. Один покупатель — и мы уничтожим данные с нашей стороны. Похоже, что наш «выход на пенсию» уже скоро, поэтому если покупателя не найдут — мы сольем данные бесплатно», — заявили киберпреступники. «Если заинтересованы — присылайте предложения, мы не рассматриваем меньше $50k, лучшее предложение получит данные».

TeamPCP ранее связывали с масштабными supply chain атаками на платформы разработки, включая GitHub, PyPI, NPM и Docker, а также недавней кампанией «Mini Shai-Hulud», которая также затронула двух сотрудников OpenAI. VS Code расширения — это плагины, которые можно устанавливать из VS Code Marketplace (официального магазина дополнений для редактора Microsoft), чтобы добавлять функции или интеграции в среду разработки. Впрочем, интересно другое.

«GitHub не назвал скомпрометированное расширение», — отмечает TechCrunch.

Это не первый случай, когда троянизированные расширения VS Code появлялись в магазине: в последние годы несколько вредоносных плагинов с миллионами установок использовались для похищения учетных данных разработчиков и другой чувствительной информации.

GitHub визнав масштабний витік даних: зламано понад 3 800 репозиторіїв — Заявления о взломе GitHub TeamPCP. Фото: Мэтью Мейнард / Github / Bleeping Computer

Например, в прошлом году расширение VSCode с 9 миллионами установок было удалено из-за рисков безопасности, а еще 10 других, которые маскировались под легитимные инструменты разработки, заражали пользователей криптомайнером XMRig.

«Хакеры все чаще атакуют популярные open-source проекты, включая расширения для разработки, с целью заражения компьютеров программистов и их проектов. Атака на популярные проекты позволяет злоумышленникам получать доступ к большому количеству компьютеров одновременно, что многократно усиливает масштаб атаки», — пишет TechCrunch.

Позже в том же году вредоносное расширение с базовыми функциями ransomware проникло в VS Code Marketplace после того, как злоумышленник под ником WhiteCobra завалил его 24 криптокрадными расширениями. Еще раньше, в январе, два вредоносных расширения, которые рекламировались как AI-ассистенты для кодирования из 1,5 миллиона установок, эксфильтровали данные из пораженных систем разработчиков на серверы в Китае.

«OpenAI также недавно стала целью подобной, но отдельной атаки, во время которой хакеры взломали Tanstack — платформу, которую используют веб-разработчики, — чтобы распространить обновления с вредоносным кодом, который позволял похищать пароли и токены пользователей», — добавляет TechCrunch.

Облачная платформа GitHub в настоящее время используется более 4 миллионами организаций (включая 90% Fortune 100) и более чем 180 миллионами разработчиков, которые работают с более 420 миллионами репозиториев кода.