GitHub konfirmon shkeljen e sigurisë në 3,800 repo përmes një zgjerimi keqdashës të Visual Studio Code
GitHub ka konfirmuar se afërsisht 3,800 depo të brendshme u sulmuan pasi një nga punonjësit e saj instaloi një zgjerim keqdashës VS Code.
Kompania që atëherë e ka hequr zgjerimin e paidentifikuar të trojanizuar nga tregu VS Code dhe e ka siguruar pajisjen e kompromentuar.
“Dje zbuluam dhe përmbajtëm një kompromentim të një pajisjeje punonjësi që përfshinte një zgjatim të helmuar të Kodit VS. Ne e hoqëm versionin e zgjatimit keqdashës, izoluam pikën fundore dhe filluam menjëherë reagimin ndaj incidentit”, tha kompania.
“Vlerësimi ynë aktual është se aktiviteti përfshinte vetëm nxjerrjen e depove të brendshme të GitHub. Pretendimet aktuale të sulmuesit për ~3,800 depo janë në përputhje me hetimin tonë deri më tani.”
Kjo vjen pasi GitHub i tha BleepingComputer të martën në mbrëmje se po hetonte pretendimet për akses të paautorizuar në depot e saj të brendshme dhe shtoi se nuk ka prova që të dhënat e klientëve të ruajtura jashtë depove të prekura janë prekur.
Ndërsa GitHub ende nuk e ka atribuar shkeljen, grupi i hakerëve TeamPCP pretendoi qasje në kodin burimor të GitHub dhe “~4,000 depo të kodit privat” në forumin e krimit kibernetik të shkelur të martën, duke kërkuar të paktën 50,000 dollarë për të dhënat e vjedhura.
“Si gjithmonë, kjo nuk është një shpërblim. Nuk na intereson të zhvatim Github, 1 blerës dhe ne i shkatërrojmë të dhënat nga ana jonë. Duket se dalja jonë në pension është së shpejti, kështu që nëse nuk gjendet asnjë blerës, do t’i publikojmë falas”, thanë kriminelët kibernetikë. “Nëse jeni të interesuar, dërgoni ofertat tuaja në komunikimet më poshtë. Nuk jemi të interesuar për nën 50 mijë dollarë. Oferta më e mirë do ta marrë.”
TeamPCP ishte i lidhur më parë me sulme masive të zinxhirit të furnizimit që synonin platformat e kodit të zhvilluesve, duke përfshirë GitHub, PyPI, NPM dhe Docker, dhe, së fundmi, me fushatën e zinxhirit të furnizimit “Mini Shai-Hulud” (e cila ndikoi gjithashtu në dy punonjës të OpenAI).
Zgjerimet e VS Code janë plugin-e që mund të instalohen nga VS Code Marketplace (dyqani zyrtar i shtesave për redaktuesin e kodit të Microsoft) për të shtuar veçori ose për të integruar mjete në redaktues.
Kjo nuk është hera e parë që një zgjerim i kodit VS i trojanizuar është vërejtur në treg, pasi shumë zgjerime të tjera keqdashëse me miliona instalime janë përdorur për të vjedhur kredencialet e zhvilluesve dhe të dhëna të tjera të ndjeshme gjatë disa viteve të fundit.
Për shembull, vitin e kaluar, zgjerimet VSCode me 9 milionë instalime u tërhoqën për shkak të rreziqeve të sigurisë , dhe 10 të tjera, duke u paraqitur si mjete legjitime zhvillimi, infektuan përdoruesit me kriptomonedhën XMRig.
Më vonë gjatë vitit, një zgjerim keqdashës me aftësi bazë për ransomware u fut fshehurazi në tregun e VS Code pasi një aktor kërcënimi i quajtur WhiteCobra e përmbyti atë me 24 zgjerime që vjedhin kriptovaluta .
Kohët e fundit, në janar, dy zgjerime keqdashëse u reklamuan si asistentë kodimi të bazuar në inteligjencën artificiale me 1.5 milion instalime, të cilat nxorën të dhëna nga sistemet e kompromentuara të zhvilluesve në servera në Kinë.
Platforma e bazuar në cloud e GitHub tani përdoret nga mbi 4 milionë organizata (përfshirë 90% të Fortune 100) dhe më shumë se 180 milionë zhvillues që kontribuojnë në mbi 420 milionë depo kodi.