O extensie VS Code otrăvită a furat 3.800 de depozite interne ale GitHub

GitHub investighează un acces neautorizat la depozitele sale interne și a confirmat că un atacator a reușit să exfiltreze date din aproximativ 3.800 dintre ele. Intruziunea a venit prin intermediul unei extensii Visual Studio Code otrăvite, instalată de un angajat, oferind atacatorului acces la acel dispozitiv și, de acolo, la codul intern care ar trebui să rămână dincolo de zidurile companiei.

Granița pe care GitHub o marchează, între depozitele interne și platforma orientată către clienți, este singurul lucru care separă un incident limitat de o urgență globală de supply chain. GitHub găzduiește în jur de 100 de milioane de dezvoltatori și o parte semnificativă din codul open source pe care se sprijină internetul modern. Când compania spune „intern”, se referă la codul propriei platforme, la propriile unelte, la configurația operațională, la materialul cu care GitHub se construiește și se rulează pe sine. Organizațiile clienților, întreprinderile și depozitele publice și private pe care acei clienți le țin pe GitHub rămân, potrivit companiei, în afara razei de impact a acestei intruziuni.

Acea distincție face o muncă considerabilă în comunicatul publicat de companie pe contul oficial de X. „Deși în prezent nu avem dovezi privind impactul asupra informațiilor clienților stocate în afara depozitelor interne ale GitHub”, spune textul, „ne monitorizăm atent infrastructura pentru orice activitate ulterioară”. Formularea este precisă, iar precizia într-un anunț de breșă înseamnă de obicei că ancheta este încă în desfășurare. „Fără dovezi de impact” nu este același lucru cu „fără impact”. Incidentele de la marile platforme au obiceiul de a crește pe măsură ce analiza forensică prinde din urmă activitatea atacatorului, iar linia dintre sistemele interne și cele orientate către client este rareori un perete fizic curat. Este un set de controale de acces, credențiale și conturi de serviciu care trebuie gândite unul câte unul.

S‑ar putea să‑ți placă șiDescoperă lumea impresionantă a Tales of Kenzera: ZAU

Mecanismul este partea acestei povești care ar trebui să îngrijoreze fiecare dezvoltator. Visual Studio Code este editorul de cod dominant al planetei, folosit în aproape orice organizație mare de inginerie. Piața sa de extensii funcționează pe încrederea comunității: oricine poate publica, iar majoritatea inginerilor instalează plug-in-uri cu aceeași ușurință cu care adaugă semne de carte în browser. O extensie otrăvită distribuită pe acest canal și executată pe un dispozitiv de dezvoltator îi oferă atacatorului acces la tot ce sesiunea acelui dezvoltator poate atinge: depozite, token-uri, registre de pachete, servicii interne. Numele exact al extensiei folosite în acest caz nu a fost încă făcut public, dar modelul nu este nou. Nx Console, o extensie populară de tooling pentru dezvoltatori, a suferit o compromitere similară.

Grupul care își spune TeamPCP și-a asumat intruziunea și oferă setul de date spre vânzare pe forumuri clandestine, cu un preț minim de cincizeci de mii de dolari. Formularea grupului, „aceasta nu este o răscumpărare”, este în sine un semnal. Nu încearcă să șantajeze direct GitHub. Tratează codul sursă intern furat așa cum alți infractori tratează dump-urile de carduri de credit: o marfă cu cumpărători. Cine ajunge să dețină acea arhivă de 3.800 de depozite o va scotoci după credențiale încorporate, secrete scrise direct în cod, detalii utile pentru a ataca însăși infrastructura GitHub și orice ar putea fi folosit pentru a compromite ținte din aval. Aceluiași grup i se atribuie și viermele Mini Shai-Hulud care a lovit pachetul durabletask pe PyPI, ceea ce subliniază adevărata miză a poveștii: atacurile asupra lanțului de aprovizionare al dezvoltării au trecut din scenariu teoretic în meserie operațională.

Răspunsul de izolare, în descrierea proprie a GitHub, a fost rapid. Dispozitivul compromis a fost izolat. Extensia malițioasă a fost eliminată. Compania spune că a rotit secretele critice, prioritizând credențialele cu cel mai mare impact, și că va notifica eventualii clienți afectați prin canalele sale obișnuite de răspuns la incidente, dacă ancheta se va extinde. Filiala Microsoft nu a identificat angajatul GitHub al cărui dispozitiv a fost compromis, nu a numit extensia și nu a precizat cât timp a avut atacatorul acces înainte de detectare. Aceste detalii apar de obicei în raportul post-incident mai lung, care vine la câteva săptămâni după anunțul inițial.

Pentru restul industriei, lecția practică este mai simplă decât face să pară ambalajul de threat intelligence. Orice organizație de inginerie este la o instalare neglijentă de extensie distanță de același incident. Oricine a instalat vreodată o extensie VS Code recomandată într-un fir de forum a alergat același risc care a căzut pe un angajat GitHub. Apărările care funcționează sunt cunoscute și aplicate inegal: limitarea instalării extensiilor la o listă permisă verificată, izolarea stațiilor de dezvoltator de credențialele de producție, rotirea secretelor în cadență rapidă. Această breșă le va împinge în topul priorităților la companii care le amânaseră.

GitHub nu a dat un termen pentru un post-mortem public complet. Investigațiile de această dimensiune pe platforme de această anvergură durează de obicei mai multe săptămâni până să-și arate amploarea reală, iar actualizările vor veni prin canalele oficiale ale companiei pe măsură ce sunt produse. Următorul lucru de urmărit este dacă arhiva de 3.800 de depozite apare efectiv la vânzare și la ce preț se mișcă pragul după ce piața clandestină va fi avut câteva zile să examineze indexul.

Mai multe articole similare

Grok Build CLI de la xAI iese la atac împotriva Claude Code în terminal pentru 99 de dolari

Agentul Perplexity pentru Mac costă 200 de dolari pe lună şi îţi citeşte e-mailul

Noul Razr Ultra de la Motorola, de 1.499 de dolari, încarcă o zi întreagă de baterie în 8 minute

Hexstrike-AI: Zorii Exploatării Autonome a Vulnerabilităților Zero-Day

Comcast lansează pentru prima dată o experiență de vizionare îmbunătățită 4K pentru Jocurile Olimpice pe Xfinity X1

Counter-Strike 2 | Un upgrade gratuit la CS:GO