Администрация GitHub подтвердила, что около 3800 репозиториев были взломаны после того, как один из её сотрудников установил заражённое расширение для VS Code. Компания удалила это расширение из магазина и обезопасила скомпрометированное устройство.
Источник изображения: Rubaitul Azad / unsplash.com
«На днях мы выявили и изолировали взлом устройства сотрудника, который был вызван вредоносным расширением для VS Code. Мы убрали опасную версию расширения, изолировали рабочее место и незамедлительно приступили к реагированию на инцидент. Согласно нашей текущей оценке, в результате атаки произошла лишь утечка данных из внутренних репозиториев GitHub. Заявления злоумышленника о взломе примерно 3800 репозиториев в целом соответствуют выводам нашего расследования», — говорится в заявлении администрации платформы.
Источник утечки в GitHub пока не раскрыт, однако хакерская группа TeamPCP накануне объявила на профильном форуме о доступе к исходному коду GitHub и «примерно 4000 репозиториям с закрытым кодом», потребовав за украденные данные не менее $50 000 и пригрозив в противном случае опубликовать их бесплатно. Ранее TeamPCP связывали с масштабными атаками на цепочки поставок, в ходе которых взламывались платформы для разработки кода, включая GitHub, PyPI, NPM и Docker, а также с кампанией Mini Shai-Hulud, затронувшей двух сотрудников OpenAI.
Плагины VS Code устанавливаются из официального магазина, и это далеко не первый случай, когда расширение содержит троян — иногда вредоносные плагины набирают несколько миллионов загрузок. Платформу GitHub сегодня используют более 4 млн организаций, включая 90 % компаний из списка Fortune 100, а также более 180 млн разработчиков, вносящих вклад в свыше 420 млн репозиториев кода.
