Масштабний витік даних на GitHub
Компанія GitHub офіційно підтвердила факт компрометації приблизно 3 800 внутрішніх репозиторіїв. Інцидент стався через встановлення співробітником шкідливого розширення для VS Code. Команда безпеки GitHub оперативно видалила це неназване троянське розширення з VS Code Marketplace та вжила заходів для захисту скомпрометованого пристрою. “Вчора ми виявили та локалізували компрометацію пристрою співробітника, пов’язану з отруєним розширенням VS Code. Ми видалили шкідливу версію розширення, ізолювали кінцеву точку та негайно розпочали реагування на інцидент”, – повідомила компанія. Ця подія сталася після того, як у вівторок GitHub повідомила BleepingComputer про розслідування заяв щодо несанкціонованого доступу до внутрішніх репозиторіїв. На той момент компанія не мала доказів впливу на дані клієнтів, що зберігаються поза ураженими репозиторіями. “Наша поточна оцінка полягає в тому, що активність включала ексфільтрацію лише внутрішніх репозиторіїв GitHub. Поточні заяви зловмисника про 3 800 репозиторіїв загалом узгоджуються з нашими результатами розслідування”.
Ймовірний зловмисник та вимоги
Хоча GitHub поки що офіційно не назвала групу, відповідальну за атаку, хакерське угруповання TeamPCP заявило про доступ до вихідного коду GitHub та “приблизно 4 000 приватних репозиторіїв коду”. Цю інформацію вони оприлюднили на кіберзлочинному форумі Breached, вимагаючи щонайменше $50 000 за викрадені дані. “Як завжди, це не викуп. Ми не займаємося шантажем GitHub. Один покупець – і ми знищимо дані з нашого боку. Схоже, що наш “вихід на пенсію” вже скоро, тому якщо покупця не знайдуть – ми зіллємо дані безкоштовно”, – заявили кіберзлочинці. “Якщо є зацікавлені – надсилайте пропозиції, ми не розглядаємо суми менше $50k, найкраща пропозиція отримає дані”. TeamPCP раніше була пов’язана з масштабними атаками на ланцюжки поставок програмного забезпечення, включаючи платформи розробки, такі як GitHub, PyPI, NPM і Docker. Також їх пов’язують з нещодавньою кампанією “Mini Shai-Hulud”, яка зачепила співробітників OpenAI.
Ризики розширень для VS Code
Розширення для VS Code – це плагіни, які можна встановлювати з VS Code Marketplace для додавання функцій або інтеграцій до середовища розробки. На жаль, це не перший випадок, коли в магазині з’являються троянізовані розширення. Протягом останніх років кілька шкідливих плагінів із мільйонами встановлень використовувалися для викрадення облікових даних розробників та іншої чутливої інформації.
Історичні приклади шкідливих розширень
* Минулого року було видалено розширення VS Code із 9 мільйонами встановлень через ризики безпеки. * Ще 10 інших розширень, які маскувалися під легітимні інструменти розробки, заражали користувачів криптомайнером XMRig. * Раніше шкідливе розширення з функціями ransomware проникло до VS Code Marketplace, коли зловмисник під ніком WhiteCobra завантажив туди 24 криптокрадійних розширення. * У січні того ж року два шкідливі розширення, що рекламувалися як AI-асистенти для кодування (з 1,5 мільйона встановлень), ексфільтрували дані з уражених систем розробників на сервери в Китаї. “Хакери дедалі частіше атакують популярні open-source проєкти, включно з розширеннями для розробки, з метою зараження комп’ютерів програмістів і їхніх проєктів. Атака на популярні проєкти дозволяє зловмисникам отримувати доступ до великої кількості комп’ютерів одночасно, що багаторазово підсилює масштаб атаки”, – зазначає TechCrunch.
Вердикт ІТ-Блогу: Це оновлення безпеки є критично важливим для всіх користувачів GitHub, особливо тих, хто використовує розширення для VS Code. Необхідно уважно перевіряти джерело та репутацію будь-яких розширень перед їх встановленням.
Дізнатися більше на: itc.ua