GitHub подтвердила крупный инцидент, произошедший накануне. Злоумышленники получили доступ к внутренним репозиториям компании через зараженное расширение для Visual Studio Code.
По данным GitHub, компрометация произошла после того, как один из сотрудников установил «отравленное» расширение для редактора кода.
Хакеры получили доступ к тысячам репозиториев
По текущей оценке GitHub, атакующие успели выгрузить содержимое примерно 3800–4000 внутренних репозиториев.
Компания подчеркивает, что речь идет именно о внутренних системах GitHub — публичные пользовательские репозитории, корпоративные аккаунты и клиентские данные, по их словам, не пострадали.
После обнаружения атаки, GitHub удалила вредоносное расширение из маркетплейса VS Code, изолировала зараженное устройство и начала экстренную ротацию секретов и ключей доступа.
Компания также продолжает проверять логи и отслеживать возможную дальнейшую активность злоумышленников.
Данные уже выставили на продажу
Ответственность за атаку взяла на себя группировка TeamPCP. Хакеры утверждают, что получили доступ к исходному коду GitHub и внутренним организационным данным, а похищенную информацию уже пытаются продать на теневых форумах минимум за $50 000.
GitHub официально не подтверждает все заявления атакующих, но признает, что цифра в «примерно 3800 репозиториев» в целом совпадает с результатами внутреннего расследования.
Почему это важно
История снова показала, насколько опасным становится supply chain-хакинг. Это когда атака производится не на сами сервисы, а на инструменты разработчиков.
Расширения для VS Code давно считаются слабым местом: многие из них получают практически полный доступ к файловой системе, терминалу, сети и токенам разработчика.
Исследователи уже не первый год предупреждают, что экосистема расширений для VS Code плохо изолирована. По данным одного из исследований, подозрительное поведение нашли примерно у 5,6% из 52 000 проанализированных расширений.
На фоне последних атак это выглядит особенно тревожно: ранее TeamPCP уже связывали с заражением npm- и PyPI-пакетов, а также атаками на инфраструктуру разработчиков и CI/CD-системы.
GitHub пообещала опубликовать полный отчет
Пока GitHub не раскрывает, какое именно расширение стало точкой входа и как долго злоумышленники находились внутри инфраструктуры. Компания обещает выпустить подробный постмортем после завершения расследования.
ЧИТАЙТЕ НОВОСТИ В ТГ
Нравятся наши новости? Получайте их первыми — мы каждый день отбираем лучшее из всего, что происходит в IT, чтобы вы ничего не пропустили. ССЫЛКА на подписку (можно просто кликнуть) — ждём внутри канала :)
А ещё…сохраните промокод Практикума на любой платный курс: KOD. Он даст скидку при покупке и позволит сэкономить на обучении.
Бесплатные курсы в Практикуме тоже есть — по всем специальностям и направлениям.
