GitHub был взломан через зараженное расширение VS Code, 3,800 репозиториев украдено

      TL;DRGitHub подтвердил, что группа киберпреступников TeamPCP эксфильтровала примерно 3,800 внутренних репозиториев кода после компрометации устройства сотрудника через зараженное расширение VS Code. Платформа, принадлежащая Microsoft, утверждает, что данные клиентов не пострадали, но утечка подчеркивает растущую угрозу атак на цепочку поставок, нацеленных на инструменты для разработчиков. Это тревожная ирония, когда крупнейшая в мире платформа для хостинга кода становится жертвой своей собственной экосистемы. GitHub подтвердил во вторник, что злоумышленник эксфильтровал примерно 3,800 внутренних репозиториев после компрометации устройства сотрудника через зараженное расширение Visual Studio Code, что стало одной из самых значительных утечек, когда-либо раскрытых компанией, принадлежащей Microsoft. Пост в GitHub X Группа киберпреступников TeamPCP, также отслеживаемая как UNC6780, взяла на себя ответственность за атаку на форуме хакеров Breached, где она предложила украденные данные, которые она описала как собственный исходный код и внутренние организационные файлы, за как минимум 50,000 долларов. Группа заявила, что опубликует материал, если покупатель не найдется. 💜 технологий ЕС Последние новости из сферы технологий ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных AI-артов. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Расследование GitHub показало, что утечка началась, когда сотрудник загрузил вредоносное расширение из официального магазина VS Code. Эта единственная установка была достаточной, чтобы дать злоумышленнику доступ к устройству сотрудника и, оттуда, к тысячам частных репозиториев компании. GitHub заявил, что утверждение злоумышленника о примерно 3,800 репозиториях было «направленно согласовано» с его собственными выводами. Компания быстро отреагировала, как только обнаружила вторжение, изолировав скомпрометированное устройство, удалив расширение и изменив критические учетные данные в течение нескольких часов. GitHub подчеркнул, что деятельность касалась только эксфиляции внутренних репозиториев и что не было найдено доказательств воздействия на данные клиентов, корпоративные аккаунты или репозитории, размещенные пользователями. Тем не менее, инцидент является ярким напоминанием о том, как атаки на цепочку поставок, нацеленные на инструменты для разработчиков, могут глубоко проникать даже в самые защищенные организации. TeamPCP имеет внушительный послужной список в этой области. Группа стояла за компрометацией сканера уязвимостей Trivy компании Aqua Security ранее в этом году, атака, которая в конечном итоге привела к эксфиляции 92 ГБ данных из инфраструктуры AWS Европейской комиссии. Она также нацеливалась на KICS от Checkmarx, библиотеку шлюза LiteLLM AI, SDK Telnyx, TanStack и пакеты, связанные с MistralAI. Магазин VS Code стал растущим вектором для атак на цепочку поставок. В отличие от традиционных реестров пакетов, таких как npm или PyPI, расширения браузеров и редакторов часто получают широкие системные разрешения по умолчанию, что делает их особенно привлекательными для злоумышленников, стремящихся к боковому доступу. GitHub не назвал конкретное расширение, участвовавшее в его утечке, и остается неясным, было ли это новое вредоносное объявление или скомпрометированная версия легитимного инструмента. Тайминг добавляет дополнительное давление. Утечка GitHub происходит на фоне более широкого всплеска компрометаций программного обеспечения цепочки поставок, которые затронули организации в различных секторах. Банда ShinyHunters, которая ранее сотрудничала с TeamPCP, недавно опубликовала украденные данные Европейской комиссии. OpenAI стал целью через скомпрометированный пакет TanStack. А в начале этого месяца исследователи задокументировали сотни вредоносных пакетов npm из кампании под названием Mini Shai-Hulud, которая была связана с тем же кластером угроз. Для GitHub, который хостит более 100 миллионов разработчиков и служит критической инфраструктурой для глобальной программной индустрии, утечка поднимает неудобные вопросы о безопасности инструментов, которым разработчики доверяют безоговорочно. Если платформа, основанная на проверке кода и контроле версий, может быть проникнута через злонамеренное расширение, последствия для менее защищенных организаций являются тревожными. GitHub заявил, что его расследование продолжается. Он привлек внешнюю судебно-медицинскую поддержку и работает над определением полного объема доступа к данным. Компания опубликовала информацию об инциденте в X, повторив, что данные клиентов остались нетронутыми. Тем временем TeamPCP не показывает признаков замедления. От учреждений ЕС до инфраструктуры AI и основ открытой разработки группа продемонстрировала последовательную стратегию: отравить инструменты, от которых зависят организации, и периметр становится неактуальным.