GitHub признала утечку исходного кода после взлома 3800 внутренних репозиториев
Microsoft GitHub, судя по всему, пережила крупнейший в своей истории инцидент безопасности: компания подтвердила, что атакующие вывели код примерно из 3800 внутренних репозиториев.
Сообщения об инциденте впервые появились 19 мая, когда GitHub заявила, что расследует «несанкционированный доступ». Спустя несколько часов аккаунт компании в X подтвердил худшие опасения:
«Вчера мы обнаружили и локализовали компрометацию устройства сотрудника, связанную с отравленным расширением VS [Visual Studio] Code. Мы удалили вредоносную версию расширения, изолировали конечную точку и немедленно начали реагирование на инцидент», — сообщила GitHub.
«По нашей текущей оценке, активность касалась только вывода GitHub-внутренних репозиториев. Текущие заявления атакующего о примерно 3800 репозиториях в целом соответствуют нашему расследованию на данный момент».
GitHub добавила: «Мы продолжаем анализировать журналы, проверять ротацию секретов и отслеживать любую последующую активность. По мере необходимости мы предпримем дополнительные меры». Компания пообещала опубликовать полный отчет об инциденте после завершения расследования.
Эта цифра совпала с более ранним заявлением группировки TeamPCP о том, что она взломала 4000 репозиториев, сопроводив это угрозой слить украденный код, если не найдется покупатель, готовый заплатить не менее «50k». Группа подтвердила свое заявление, опубликовав список взломанных репозиториев на платформе для обмена файлами LimeWire.
«Как всегда, это не выкуп, мы не пытаемся шантажировать Github, один покупатель — и мы удаляем данные у себя, похоже, наш выход на пенсию уже близко, так что если покупатель не найдется, мы выложим все бесплатно», — заявила группа.
GitHub не назвала конкретное отравленное расширение VS Code, которое привело к компрометации, но компания Akido Security предположила, что оно может быть связано с отдельной атакой TeamPCP, тоже 19 мая, которая привела к внедрению бэкдора в популярное расширение Nx Console для VS Code.
«Вредоносная версия незаметно собирала учетные данные с момента, когда разработчик открывал любое рабочее пространство. Сообщество, включая Aikido Intel, быстро заметило проблему, и версию удалили в течение 11 минут», — написал технический продукт-маркетолог Akido Шон Браун.
Рекомендация Nx Console указала окно воздействия для скомпрометированной версии 18.95.0 в 18 минут и советовала разработчикам обновиться до версии 18.100.0. По внутренней аналитике сопровождающих, зараженной версией были затронуты тысячи разработчиков. Среди путей файлов, на которые нацеливались атакующие для кражи учетных данных, были Kubernetes, npm, AWS, 1Password, закрытые ключи и GitHub.
Та же кампания 19 мая привела к масштабной компрометации цепочки поставок в открытом репозитории node package manager (npm), из-за которой злоумышленники опубликовали 637 вредоносных версий в пространстве имен корпоративного инструмента визуализации данных AntV всего за 22 минуты.
До этого, 11 мая, атака на экосистему пакета TanStack Router в цепочке поставок npm успела выпустить 170 зараженных вредоносным ПО версий, прежде чем ее остановили.
«Это не сомнительные пакеты и расширения от неизвестных издателей. Это инструменты, которые разработчики используют, не задумываясь дважды, именно потому что количество установок, значок подтвержденного издателя и легитимность маркетплейса создают ощущение безопасности», — сказал Браун.
«Высокое число установок означает компрометацию высокой ценности. Подтвержденный издатель означает, что разработчики не колеблются. Официальный маркетплейс означает, что никто не думает проверять».
Метод TeamPCP прост: использовать слабые места в механизмах обновления платформ или украденные учетные данные, чтобы запускать короткие, резкие worm-атаки, проникающие как можно глубже в компании, использующие open-source ПО, прежде чем защитники успеют среагировать.
По мере роста числа инцидентов — включая мартовскую атаку TeamPCP на сканер уязвимостей Trivy и отдельную атаку на библиотеку HTTP-клиента Axios npm JavaScript — становится ясно, что стратегия нацеливания на инструменты разработчиков с открытым исходным кодом быстро превращается в новую крупную головную боль для безопасности.
Материал — перевод статьи с английского.
Оригинал: GitHub admits major source code leak after 3,800 internal repositories breached