SecAtor
@true_secator
GitHub подтвердила, что около 3800 внутренних репозиториев были взломаны после того, как один из ее сотрудников установил вредоносное расширение для VS Code.
К настоящему времени GitHub удалила неназванное троянизированное расширение из VS Code Marketplace (официального магазина дополнений для редактора кода от Microsoft), изолировала скомпрометированную конечную точку и немедленно приступила к реагированию на инцидент.
По предварительным оценкам, речь идет только об утечке данных из внутренних репозиториев GitHub. Заявления злоумышленника в отношении 3800 репозиториев в целом также соответствуют результатам расследования.
Во вторник вечером GitHub сообщила, что расследует заявления о несанкционированном доступе к своим внутренним репозиториям и добавила тогда, что у нее нет доказательств того, что данные клиентов, хранящиеся за пределами затронутых репозиториев, были затронуты.
При этом GitHub пока не выходила на контакт с виновниками инцидента - группой TeamPCP, заявившей на Breached о доступе к исходному коду GitHub и «4000 репозиториям закрытого кода», потребовав за украденные данные не менее 50 000 долларов.
Хакеры в своей манере заявили о вымогательстве и намерены удалить данные на своей стороне после продажи, предлагая, в первую очередь, выкупить данные непосредственно представителям GitHub.
Кроме того, в TeamPCP посетовали на то, что скоро уйдут на пенсию, поэтому, если покупатель не найдётся, то хакеры их попросту опубликуют бесплатно.
Напомним в очередной раз, что ранее TeamPCP провернули масштабные атаки на цепочки поставок, нацеленные на платформы для разработчиков, включая GitHub, PyPI, NPM и Docker, а совсем недавно - и кампанию Мини-Шай-Хулуд (которая также затронула двух сотрудников OpenAI).
Чт касается VS Code Marketplace, это не первый случай обнаружения троянизированного расширения для VS Code, поскольку за последние несколько лет множество других вредоносных расширений с миллионами установок использовались для кражи данных разработчиков.
Например, в прошлом году расширения для VSCode с 9 миллионами установок были удалены из-за угроз безопасности, а еще 10, выдававшие себя за легитимные инструменты разработки, заразили пользователей криптомайнером XMRig.
Позже в том же году вредоносное расширение с базовыми функциями вымогателя проникло на торговую площадку VS Code после того, как злоумышленник под псевдонимом WhiteCobra заполонил ее 24 расширениями, предназначенными для кражи криптографических данных.
Совсем недавно, в январе, два вредоносных расширения, рекламируемые как помощники по программированию на основе ИИ и имеющие 1,5 миллиона установок, слили данные из скомпрометированных систем разработчиков на серверы в Китае.
К настоящему времени GitHub удалила неназванное троянизированное расширение из VS Code Marketplace (официального магазина дополнений для редактора кода от Microsoft), изолировала скомпрометированную конечную точку и немедленно приступила к реагированию на инцидент.
По предварительным оценкам, речь идет только об утечке данных из внутренних репозиториев GitHub. Заявления злоумышленника в отношении 3800 репозиториев в целом также соответствуют результатам расследования.
Во вторник вечером GitHub сообщила, что расследует заявления о несанкционированном доступе к своим внутренним репозиториям и добавила тогда, что у нее нет доказательств того, что данные клиентов, хранящиеся за пределами затронутых репозиториев, были затронуты.
При этом GitHub пока не выходила на контакт с виновниками инцидента - группой TeamPCP, заявившей на Breached о доступе к исходному коду GitHub и «4000 репозиториям закрытого кода», потребовав за украденные данные не менее 50 000 долларов.
Хакеры в своей манере заявили о вымогательстве и намерены удалить данные на своей стороне после продажи, предлагая, в первую очередь, выкупить данные непосредственно представителям GitHub.
Кроме того, в TeamPCP посетовали на то, что скоро уйдут на пенсию, поэтому, если покупатель не найдётся, то хакеры их попросту опубликуют бесплатно.
Напомним в очередной раз, что ранее TeamPCP провернули масштабные атаки на цепочки поставок, нацеленные на платформы для разработчиков, включая GitHub, PyPI, NPM и Docker, а совсем недавно - и кампанию Мини-Шай-Хулуд (которая также затронула двух сотрудников OpenAI).
Чт касается VS Code Marketplace, это не первый случай обнаружения троянизированного расширения для VS Code, поскольку за последние несколько лет множество других вредоносных расширений с миллионами установок использовались для кражи данных разработчиков.
Например, в прошлом году расширения для VSCode с 9 миллионами установок были удалены из-за угроз безопасности, а еще 10, выдававшие себя за легитимные инструменты разработки, заразили пользователей криптомайнером XMRig.
Позже в том же году вредоносное расширение с базовыми функциями вымогателя проникло на торговую площадку VS Code после того, как злоумышленник под псевдонимом WhiteCobra заполонил ее 24 расширениями, предназначенными для кражи криптографических данных.
Совсем недавно, в январе, два вредоносных расширения, рекламируемые как помощники по программированию на основе ИИ и имеющие 1,5 миллиона установок, слили данные из скомпрометированных систем разработчиков на серверы в Китае.
X (formerly Twitter)
GitHub (@github) on X
2/ Our current assessment is that the activity involved exfiltration of GitHub-internal repositories only. The attacker’s current claims of ~3,800 repositories are directionally consistent with our investigation so far.
38 5.4K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram