GitHub підтвердила, що приблизно 3 800 внутрішніх репозиторіїв були скомпрометовані після того, як один із співробітників встановив шкідливе розширення для VS Code.Компанія вже видалила неназване троянське розширення з VS Code Marketplace та забезпечила безпеку скомпрометованого пристрою.
“Учора ми виявили та локалізували компрометацію пристрою співробітника, пов’язану з отруєним розширенням VS Code. Ми видалили шкідливу версію розширення, ізолювали кінцеву точку та негайно розпочали реагування на інцидент”, — повідомила компанія.
Це сталося після того, як GitHub у вівторок увечері повідомила BleepingComputer, що розслідує заяви про несанкціонований доступ до своїх внутрішніх репозиторіїв і додала, що не має доказів впливу на дані клієнтів, що зберігаються поза ураженими репозиторіями.
“Наша поточна оцінка полягає в тому, що активність включала ексфільтрацію лише внутрішніх репозиторіїв GitHub. Поточні заяви зловмисника про 3 800 репозиторіїв загалом узгоджуються з нашими результатами розслідування”.
Хоча GitHub поки що офіційно не атрибутувала атаку, хакерське угруповання TeamPCP заявило про доступ до вихідного коду GitHub і ” приблизно 4 000 приватних репозиторіїв коду” на кіберзлочинному форумі Breached у вівторок, вимагаючи щонайменше $50 000 за викрадені дані.
“Як завжди, це не викуп. Ми не займаємося шантажем GitHub. Один покупець — і ми знищимо дані з нашого боку. Схоже, що наш “вихід на пенсію” вже скоро, тому якщо покупця не знайдуть — ми зіллємо дані безкоштовно”, — заявили кіберзлочинці. “Якщо зацікавлені — надсилайте пропозиції, ми не розглядаємо менше $50k, найкраща пропозиція отримає дані”.
TeamPCP раніше пов’язували з масштабними supply chain атаками на платформи розробки, включно з GitHub, PyPI, NPM і Docker, а також нещодавньою кампанією “Mini Shai-Hulud”, яка також зачепила двох співробітників OpenAI. VS Code розширення — це плагіни, які можна встановлювати з VS Code Marketplace (офіційного магазину доповнень для редактора Microsoft), щоб додавати функції або інтеграції в середовище розробки. Втім, цікаво інше.
“GitHub не назвав скомпрометоване розширення”, — зазначає TechCrunch.
Це не перший випадок, коли троянізовані розширення VS Code з’являлися в магазині: протягом останніх років кілька шкідливих плагінів із мільйонами встановлень використовувалися для викрадення облікових даних розробників та іншої чутливої інформації.
Наприклад, торік розширення VSCode із 9 мільйонами встановлень було видалено через ризики безпеки, а ще 10 інших, які маскувалися під легітимні інструменти розробки, заражали користувачів криптомайнером XMRig.
“Хакери дедалі частіше атакують популярні open-source проєкти, включно з розширеннями для розробки, з метою зараження комп’ютерів програмістів і їхніх проєктів. Атака на популярні проєкти дозволяє зловмисникам отримувати доступ до великої кількості комп’ютерів одночасно, що багаторазово підсилює масштаб атаки”, — пише TechCrunch.
Пізніше того ж року шкідливе розширення з базовими функціями ransomware проникло в VS Code Marketplace після того, як зловмисник під ніком WhiteCobra завалив його 24 криптокрадійними розширеннями. Ще раніше, у січні, два шкідливі розширення, що рекламувалися як AI-асистенти для кодування з 1,5 мільйона встановлень, ексфільтрували дані з уражених систем розробників на сервери в Китаї.
“OpenAI також нещодавно стала ціллю подібної, але окремої атаки, під час якої хакери зламали Tanstack — платформу, яку використовують веб-розробники, — щоб розповсюдити оновлення зі шкідливим кодом, який дозволяв викрадати паролі та токени користувачів”, — додає TechCrunch.
Хмарна платформа GitHub наразі використовується понад 4 мільйонами організацій (включно з 90% Fortune 100) і більш ніж 180 мільйонами розробників, які працюють із понад 420 мільйонами репозиторіїв коду.
Гендиректор GitHub: «Програмування має стати основним предметом в школах»
Джерело: Bleeping Computer
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: