GitHub a confirmat că au fost furate linii de cod din aproximativ 3.800 de depozite interne, accesate în urma unui atac informatic care a compromis dispozitivul unui angajat.
Incidentul a fost provocat de instalarea unei extensii malițioase pentru Visual Studio Code, iar compania susține că datele clienților nu au fost afectate.
Atacul a pornit de la o extensie VS Code infectată
Potrivit investigației interne, breșa de securitate a început după ce un angajat GitHub a descărcat o extensie compromisă din marketplace-ul oficial Visual Studio Code. Odată instalată, extensia le-a permis atacatorilor să obțină acces la dispozitivul respectiv și, ulterior, la mii de depozite private ale companiei.
GitHub a precizat că estimarea grupării de hackeri privind aproximativ 3.800 de depozite compromise este „în linii mari corectă”.
Compania a reacționat rapid după descoperirea incidentului, izolând dispozitivul afectat, eliminând extensia și schimbând credențialele critice în câteva ore.
Gruparea TeamPCP revendică atacul
Responsabilitatea pentru atac a fost revendicată de gruparea de criminalitate informatică TeamPCP, cunoscută și sub denumirea UNC6780. Hackerii au publicat informații despre breșă pe forumul Breached, unde au oferit spre vânzare datele furate pentru cel puțin 50.000 de dolari.
Gruparea susține că deține cod sursă proprietar și fișiere interne ale organizației și a amenințat că va publica datele dacă nu va găsi un cumpărător.
GitHub afirmă că utilizatorii nu au fost afectați
GitHub a transmis că nu există dovezi privind compromiterea conturilor clienților, a depozitelor găzduite pentru utilizatori sau a serviciilor enterprise.
Totuși, incidentul evidențiază riscurile tot mai mari asociate atacurilor de tip supply chain, care vizează instrumentele folosite zilnic de dezvoltatori software.
Extensiile pentru dezvoltatori devin o țintă majoră
Marketplace-ul Visual Studio Code s-a transformat într-un punct sensibil pentru securitatea cibernetică. Spre deosebire de platformele clasice pentru pachete software, extensiile pentru editori de cod primesc adesea permisiuni extinse asupra sistemului, ceea ce le transformă într-o țintă atractivă pentru atacatori.
GitHub nu a dezvăluit numele extensiei implicate și nici dacă aceasta a fost creată special pentru atac sau dacă a fost compromisă după publicare.
TeamPCP, implicată și în alte atacuri recente
Gruparea TeamPCP a fost asociată în ultimii ani cu mai multe incidente importante din zona software open-source și infrastructură cloud. Printre țintele anterioare s-au numărat instrumente precum Trivy, KICS, LiteLLM, SDK-ul Telnyx sau pachete legate de MistralAI.
În plus, cercetătorii în securitate au identificat recent sute de pachete malițioase npm asociate unei campanii denumite „Mini Shai-Hulud”, conectată la aceeași rețea de atacatori.
Un semnal de alarmă pentru industria software
Incidentul ridică noi semne de întrebare privind securitatea ecosistemului software global. GitHub deservește peste 100 de milioane de dezvoltatori și reprezintă una dintre cele mai importante platforme pentru industria IT.
Faptul că un atac a fost posibil prin intermediul unei simple extensii evidențiază vulnerabilitățile existente chiar și în organizațiile considerate mature din punct de vedere al securității cibernetice.
GitHub a anunțat că investigația continuă și că lucrează împreună cu experți externi pentru a determina amploarea completă a incidentului.
About the Author
