GitHub a spus că a „detectat și limitat o compromitere a unui dispozitiv al unui angajat care implica o extensie VS Code otrăvită”, referindu-se la un plugin pentru Visual Studio Code, un editor de cod popular pe care dezvoltatorii îl folosesc pentru programare. Hackerii vizează din ce în ce mai mult proiectele open-source populare, inclusiv extensiile de cod, cu scopul de a compromite computerele dezvoltatorilor și proiectele lor. Vizarea proiectelor populare le permite hackerilor să obțină acces la un număr mare de computere în același timp, amplificând impactul atacurilor lor.
Conform rapoartelor The Record și Bleeping Computer, un grup de hacking numit TeamPCP și-a asumat responsabilitatea pentru breșa GitHub și vinde datele pe un forum de criminalitate cibernetică. GitHub nu a răspuns imediat la o solicitare de comentarii despre incident și nici nu a răspuns la întrebări dacă a primit vreo comunicare de la hackeri, cum ar fi o cerere de răscumpărare.
TeamPCP a revendicat anterior o breșă de date la Comisia Europeană care a dus la furtul a peste 90 de gigaocteți de date din stocarea în cloud a brațului executiv al UE. Hackerii au furat cheia cloud a Comisiei Europene în timpul unei breșe anterioare la Trivy, un instrument de scanare a vulnerabilităților, prin împingerea de malware de furt de informații către utilizatorii din aval ai Trivy.
OpenAI a fost, de asemenea, vizată recent într-un atac similar, dar separat, în care hackerii au pătruns în Tanstack, o platformă folosită de dezvoltatorii web, pentru a împinge actualizări care conțineau malware, permițând hackerilor să fure parole și token-uri de la utilizatori.
Analiză și context
Acest incident subliniază o tendință îngrijorătoare în peisajul securității cibernetice: atacurile asupra lanțului de aprovizionare software. Prin compromiterea unui singur angajat sau a unei extensii populare, hackerii pot accesa o mulțime de date sensibile. GitHub, fiind una dintre cele mai mari platforme de dezvoltare software, este o țintă de mare valoare. Faptul că atacatorii au reușit să fure date din mii de depozite interne sugerează că măsurile de securitate, deși robuste, nu sunt infailibile.
TeamPCP este un grup relativ nou, dar deja notoriu pentru atacurile sale asupra unor entități de înalt profil. Vânzarea datelor furate pe forumuri de criminalitate cibernetică este o practică comună, iar acest lucru poate duce la atacuri secundare asupra altor organizații care folosesc aceleași date.
Este important de menționat că GitHub a acționat rapid pentru a izola compromiterea și a anunțat public, ceea ce este un semn bun. Cu toate acestea, lipsa de comunicare cu hackerii și faptul că investigația este încă în desfășurare lasă multe întrebări fără răspuns. De exemplu, ce tip de date au fost furate exact? Există riscul ca parole sau chei API să fi fost compromise?
Implicații pentru dezvoltatori și companii
Pentru dezvoltatorii care folosesc GitHub, acest incident este un semnal de alarmă. Este esențial să se verifice extensiile VS Code instalate și să se asigure că provin din surse de încredere. De asemenea, companiile ar trebui să își revizuiască politicile de securitate a dispozitivelor angajaților și să implementeze autentificare multifactor și monitorizare continuă.
Atacul asupra GitHub face parte dintr-un model mai larg de atacuri asupra lanțului de aprovizionare software, care includ și atacurile recente asupra Trivy și Tanstack. Aceste incidente arată că nici măcar giganții tehnologiei nu sunt imuni. Colaborarea între comunitatea de securitate și dezvoltatori este crucială pentru a identifica și remedia rapid astfel de vulnerabilități.
De ce este important:
Acest incident este important deoarece evidențiază vulnerabilitatea chiar și a celor mai sigure platforme de dezvoltare software. GitHub este un instrument esențial pentru milioane de dezvoltatori și companii din întreaga lume. O breșă de securitate de această amploare poate avea consecințe grave, inclusiv furtul de proprietate intelectuală, compromiterea proiectelor open-source și expunerea datelor sensibile. De asemenea, subliniază necesitatea unei securități mai stricte a lanțului de aprovizionare software și a unei vigilențe constante împotriva atacurilor care vizează extensiile și instrumentele de dezvoltare.
