GitHub potwierdza cyberatak. Haker posiada kod źródłowy platformy i tysiące repozytoriów

GitHub potwierdził naruszenie bezpieczeństwa po wykryciu ataku na wewnętrzne repozytoria firmy. Według informacji ujawnionych przez platformę cyberprzestępcy mieli uzyskać dostęp do części danych po wykorzystaniu zainfekowanego urządzenia jednego z pracowników W sieci pojawiły się już wpisy osoby twierdzącej, że posiada fragmenty kodu źródłowego GitHuba i chce je sprzedać.

Firma poinformowała, że wykryła nieautoryzowany dostęp do niektórych wewnętrznych repozytoriów. Według oficjalnego komunikatu źródłem problemu było zainfekowane urządzenie należące do jednego z pracowników.

GitHub przekazał, że po wykryciu incydentu natychmiast odizolowano zainfekowany punkt końcowy oraz wdrożono działania mające ograniczyć skutki ataku. Platforma twierdzi również, że obecne ustalenia wskazują na ograniczony zakres naruszenia. Według wstępnych analiz cyberprzestępca miał uzyskać dostęp do około 3800 repozytoriów związanych głównie z wcześniejszymi projektami firmy.

Jednocześnie GitHub zapewnia, że trwa dalsze dochodzenie i monitorowanie systemów pod kątem potencjalnych działań pobocznych.

„Wczoraj wykryliśmy i powstrzymaliśmy atak na urządzenie pracownika, który obejmował zainfekowane rozszerzenie VS Code. Usunęliśmy złośliwą wersję rozszerzenia, odizolowaliśmy punkt końcowy i natychmiast rozpoczęliśmy reagowanie na incydent” – poinformowała firma .

Haker twierdzi, że posiada kod GitHuba

Sytuacja nabrała jeszcze większego rozgłosu po wpisach opublikowanych na forach cyberprzestępczych. Osoba , która twierdzi, że jest sprawcą ataku ogłosiła, że posiada dane związane z niemal czterema tysiącami repozytoriów GitHuba.

Według doniesień cena wywoławcza za dostęp do danych miała wynosić co najmniej 50 tysięcy dolarów. W sieci pojawiły się także zrzuty ekranu przedstawiające fragmenty rozmów oraz wpisy sugerujące, że cyberprzestępcy mogli uzyskać dostęp do kodu źródłowego platformy.

W jednym z opublikowanych komunikatów autor ataku miał napisać: „Nie zależy nam na wymuszaniu od GitHuba”. W innym wpisie sugerowano, że grupa planuje „przejść na emeryturę”, jeśli uda się sprzedać zdobyte dane.

Na razie nie wiadomo, jaka część opublikowanych informacji jest autentyczna.

„Nasza obecna ocena wskazuje, że aktywność ta obejmowała jedynie eksfiltrację wewnętrznych repozytoriów GitHub. Obecne twierdzenia atakującego o ok. 3800 repozytoriach są zgodne z wynikami naszego dotychczasowego dochodzenia”.

Trop prowadzi do złośliwego rozszerzenia VS Code

GitHub poinformował również, że incydent ma związek ze złośliwym rozszerzeniem dla Visual Studio Code. To właśnie ono miało zostać zainstalowane na urządzeniu pracownika i umożliwić przejęcie dostępu do części infrastruktury. Rozszerzenia VS Code to wtyczki, które można zainstalować z VS Code Marketplace (oficjalnego sklepu z dodatkami do edytora kodu firmy Microsoft) w celu dodania funkcji lub zintegrowania narzędzi z edytorem.

Firma przekazała, że wadliwe rozszerzenie zostało już usunięte, a zainfekowany komputer odłączono od sieci. GitHub prowadzi również rotację tokenów bezpieczeństwa oraz analizuje logi systemowe.

Eksperci ds. cyberbezpieczeństwa od dawna ostrzegają, że rozszerzenia do popularnych narzędzi programistycznych stają się coraz atrakcyjniejszym celem dla cyberprzestępców. Programiści instalują je masowo, często bez dokładnego sprawdzania autorów i źródła pochodzenia.

Programiści coraz częściej celem cyberataków

Ataki na środowiska developerskie należą dziś do najgroźniejszych zagrożeń dla branży technologicznej. Przejęcie dostępu do repozytoriów kodu, tokenów API albo narzędzi CI/CD może otworzyć drogę do dalszych włamań w tysiącach firm korzystających z tego samego oprogramowania.

W ostatnich miesiącach głośno było o zainfekowanych pakietach Pythona, fałszywych bibliotekach open source i kampaniach malware wymierzonych w programistów korzystających z GitHuba czy VS Code.

Cyberprzestępcy doskonale wiedzą, że pojedyncze przejęte konto developera może prowadzić do znacznie większych ataków obejmujących całe łańcuchy dostaw oprogramowania.

GitHub prowadzi śledztwo

Platforma zapowiada publikację pełniejszego raportu po zakończeniu dochodzenia. Firma twierdzi, że obecnie nie ma dowodów na rozprzestrzenienie ataku poza wskazane repozytoria, ale analiza incydentu nadal trwa.