GitHub был взломан через зараженное расширение VS Code, украдено 3,800 репозиториев

      TL;DRGitHub подтвердил, что группа киберпреступников TeamPCP эксфильтровала примерно 3,800 внутренних репозиториев кода после компрометации устройства сотрудника через зараженное расширение VS Code. Платформа, принадлежащая Microsoft, утверждает, что данные клиентов не пострадали, но утечка подчеркивает растущую угрозу атак на цепочку поставок, нацеленных на инструменты разработчиков. Это тревожная ирония, когда крупнейшая в мире платформа для размещения кода становится жертвой своей собственной экосистемы. GitHub подтвердил во вторник, что злоумышленник эксфильтровал примерно 3,800 внутренних репозиториев после компрометации устройства сотрудника через зараженное расширение Visual Studio Code, что стало одной из самых значительных утечек, о которых когда-либо сообщала компания, принадлежащая Microsoft. Пост в GitHub X Группа киберпреступников TeamPCP, также отслеживаемая как UNC6780, взяла на себя ответственность за атаку на форуме хакеров Breached, где она предложила украденные данные, которые она описала как собственный исходный код и внутренние организационные файлы, за как минимум 50,000 долларов. Группа заявила, что опубликует материал, если покупатель не появится. 💜 технологий ЕС Последние новости из сферы технологий ЕС, история от нашего мудрого основателя Бориса и немного сомнительного искусственного интеллекта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Расследование GitHub показало, что утечка началась, когда сотрудник загрузил вредоносное расширение из официального магазина VS Code. Эта единственная установка была достаточной, чтобы дать злоумышленнику доступ к устройству сотрудника и, оттуда, к тысячам частных репозиториев компании. GitHub заявил, что утверждение злоумышленника о примерно 3,800 репозиториях было «направленно согласовано» с его собственными выводами. Компания быстро отреагировала, как только обнаружила вторжение, изолировав компрометированное устройство, удалив расширение и изменив критические учетные данные в течение нескольких часов. GitHub подчеркнул, что деятельность касалась только эксфиляции внутренних репозиториев и что не было найдено никаких доказательств воздействия на данные клиентов, корпоративные аккаунты или репозитории, размещенные пользователями. Тем не менее, инцидент является ярким напоминанием о том, как атаки на цепочку поставок, нацеленные на инструменты разработчиков, могут глубоко проникать даже в самые защищенные организации. TeamPCP зарекомендовала себя как серьезный игрок в этой области. Группа стояла за компрометацией сканера уязвимостей Trivy компании Aqua Security в начале этого года, атака, которая в конечном итоге привела к эксфиляции 92 ГБ данных из инфраструктуры AWS Европейской комиссии. Она также нацеливалась на KICS от Checkmarx, библиотеку шлюза LiteLLM AI, SDK Telnyx, TanStack и пакеты, связанные с MistralAI. Магазин VS Code стал растущим вектором для атак на цепочку поставок. В отличие от традиционных реестров пакетов, таких как npm или PyPI, расширения браузера и редакторов часто получают широкие системные разрешения по умолчанию, что делает их особенно привлекательными для злоумышленников, стремящихся к боковому доступу. GitHub не назвал конкретное расширение, участвовавшее в его утечке, и остается неясным, было ли это новое вредоносное объявление или компрометированная версия легитимного инструмента. Тайминг добавляет дополнительное давление. Утечка GitHub происходит на фоне более широкого всплеска компрометаций программного обеспечения цепочки поставок, которые затронули организации в различных секторах. Банда ShinyHunters, которая ранее сотрудничала с TeamPCP, недавно опубликовала украденные данные Европейской комиссии. OpenAI была нацелена через компрометированный пакет TanStack. А в начале этого месяца исследователи задокументировали сотни вредоносных пакетов npm из кампании под названием Mini Shai-Hulud, связанной с тем же кластером угроз. Для GitHub, который размещает более 100 миллионов разработчиков и служит критической инфраструктурой для глобальной программной индустрии, утечка поднимает неудобные вопросы о безопасности инструментов, которым разработчики доверяют безоговорочно. Если платформа, основанная на проверке кода и управлении версиями, может быть проникнута через злонамеренное расширение, последствия для менее защищенных организаций являются тревожными. GitHub заявил, что его расследование продолжается. Он привлек внешнюю судебно-медицинскую поддержку и работает над определением полного объема доступа к данным. Компания опубликовала информацию об инциденте в X, повторив, что данные клиентов остались нетронутыми. Тем временем TeamPCP не показывает признаков замедления. От учреждений ЕС до инфраструктуры ИИ и основ открытой разработки группа продемонстрировала последовательную стратегию: отравить инструменты, на которые полагаются организации, и периметр становится неактуальным.