GitHub potvrdil kompromitaci interních repozitářů po útoku přes škodlivé VS Code rozšíření
GitHub potvrdil bezpečnostní incident, při kterém došlo k exfiltraci interních repozitářů po kompromitaci zařízení zaměstnance prostřednictvím škodlivého VS Code rozšíření. Incident znovu upozorňuje na rostoucí riziko supply-chain útoků zaměřených na vývojářské nástroje, pluginy a software používaný při vývoji aplikací.
Společnost GitHub potvrdila bezpečnostní incident, při kterém došlo k exfiltraci interních repozitářů po kompromitaci zařízení zaměstnance prostřednictvím škodlivého rozšíření pro Visual Studio Code. Firma uvedla, že podle aktuálního vyhodnocení se incident týká pouze interních repozitářů společnosti a zatím neexistují důkazy o kompromitaci zákaznických dat mimo dotčené systémy.
Kompromitace zařízení zaměstnance přes VS Code rozšíření
GitHub uvedl, že útok detekoval a následně omezil jeho dopad. Podle firmy bylo kompromitováno zařízení zaměstnance, na kterém bylo nainstalováno škodlivé VS Code rozšíření.
Společnost odstranila kompromitovanou verzi rozšíření z marketplace, izolovala postižený endpoint a zahájila interní vyšetřování incidentu. Současně provedla rotaci kritických secretů a přístupových údajů s nejvyšším dopadem.
GitHub zároveň pokračuje v analýze logů a monitoringu případných navazujících aktivit útočníků.
Přibližně 3 800 repozitářů a skupina TeamPCP
Krátce po zveřejnění incidentu se na kyberzločineckých fórech objevila tvrzení skupiny TeamPCP, která údajně nabízela data získaná z interních repozitářů GitHubu.
Útočníci tvrdí, že získali přístup k přibližně 3 800 interním repozitářům. GitHub toto číslo veřejně nepotvrdil, ale označil jej za „directionally consistent“ s dosavadním vyšetřováním.
Společnost zároveň nekomentovala údajný prodej dat ani hrozby jejich zveřejnění v případě nenalezení kupce.
Skupina TeamPCP je v posledních měsících spojována s útoky zaměřenými na software supply chain, open-source balíčky a vývojářské nástroje.
Součástí vyšetřování je také Nx Console
GitHub veřejně nepojmenoval konkrétní VS Code rozšíření, které mělo být v útoku použito. Součástí veřejně diskutovaného vyšetřování se ale stalo také rozšíření Nx Console.
Bezpečnostní advisory kolem projektu Nx uvádí, že byl kompromitován správce projektu a došlo k úniku jeho GitHub přihlašovacích údajů. Pomocí těchto údajů měla být následně do VS Code Marketplace nahrána škodlivá verze rozšíření.
Společnost NX uvedla, že spolupracuje s Microsoftem na určení plného rozsahu incidentu. Některé odhady hovoří o tisících instalací kompromitovaného balíčku, tato čísla však zatím nebyla veřejně potvrzena.
VS Code rozšíření jako nový supply-chain problém
Incident znovu ukazuje, jak významným bezpečnostním rizikem se stávají VS Code rozšíření a další nástroje používané vývojáři.
Rozšíření mají často přístup ke zdrojovým kódům, tokenům, SSH klíčům nebo cloudovým přístupům uloženým přímo na vývojářských stanicích. Právě proto představují atraktivní cíl pro supply-chain útoky.
Bezpečnostní experti dlouhodobě upozorňují, že kontrola nad tím, jaká rozšíření a balíčky běží na vývojářských zařízeních, bývá ve firmách výrazně slabší než u běžných endpointů.
GitHub uvedl, že po dokončení vyšetřování zveřejní detailnější technickou zprávu o incidentu.