GitHub подтвердила крупный инцидент, произошедший накануне. Злоумышленники получили доступ к внутренним репозиториям компании через зараженное расширение для Visual Studio Code.
По данным GitHub, компрометация произошла после того, как один из сотрудников установил «отравленное» расширение для редактора кода.
Хакеры получили доступ к тысячам репозиториев
По текущей оценке GitHub, атакующие успели выгрузить содержимое примерно 3800–4000 внутренних репозиториев.
Компания подчеркивает, что речь идет именно о внутренних системах GitHub — публичные пользовательские репозитории, корпоративные аккаунты и клиентские данные, по их словам, не пострадали.
После обнаружения атаки, GitHub удалила вредоносное расширение из маркетплейса VS Code, изолировала зараженное устройство и начала экстренную ротацию секретов и ключей доступа.
Компания также продолжает проверять логи и отслеживать возможную дальнейшую активность злоумышленников.
Данные уже выставили на продажу
Ответственность за атаку взяла на себя группировка TeamPCP. Хакеры утверждают, что получили доступ к исходному коду GitHub и внутренним организационным данным, а похищенную информацию уже пытаются продать на теневых форумах минимум за $50 000.
GitHub официально не подтверждает все заявления атакующих, но признает, что цифра в «примерно 3800 репозиториев» в целом совпадает с результатами внутреннего расследования.
Почему это важно
История снова показала, насколько опасным становится supply chain-хакинг. Это когда атака производится не на сами сервисы, а на инструменты разработчиков.
Расширения для VS Code давно считаются слабым местом: многие из них получают практически полный доступ к файловой системе, терминалу, сети и токенам разработчика.
Исследователи уже не первый год предупреждают, что экосистема расширений для VS Code плохо изолирована. По данным одного из исследований, подозрительное поведение нашли примерно у 5,6% из 52 000 проанализированных расширений.
На фоне последних атак это выглядит особенно тревожно: ранее TeamPCP уже связывали с заражением npm- и PyPI-пакетов, а также атаками на инфраструктуру разработчиков и CI/CD-системы.
GitHub пообещала опубликовать полный отчет
Пока GitHub не раскрывает, какое именно расширение стало точкой входа и как долго злоумышленники находились внутри инфраструктуры. Компания обещает выпустить подробный постмортем после завершения расследования.
Успейте: скидка 15% до 29 мая
Пока следите за новостями — держите промокод Практикума на любой платный курс: по ссылке (можно просто нажать). Даёт скидку 15% при покупке, плюс дополнительно 5 мини-курсов и 5 книг стоимостью ~75 000 ₽. Но только до 29 мая — потом всё, промокод сгорит.
Бесплатные курсы в Практикуме тоже есть — по всем специальностям и направлениям, начать можно в любой момент, карту привязывать не нужно, если что.
