Eater
GitHub heeft bevestigd dat ongeveer 3.800 interne repositories zijn gecompromitteerd nadat een medewerker een kwaadaardige VS Code-extensie had geïnstalleerd.
Het bedrijf heeft inmiddels de naamloze, met malware besmette extensie uit de VS Code Marketplace verwijderd en het getroffen apparaat beveiligd.
“Gisteren hebben we een beveiligingsincident op een apparaat van een medewerker gedetecteerd en ingedamd, waarbij een besmette VS Code-extensie betrokken was. We hebben de kwaadaardige versie verwijderd, het systeem geïsoleerd en direct het incidentonderzoek gestart,” aldus het bedrijf.
“Onze huidige inschatting is dat de activiteit alleen betrekking had op het exfiltreren van GitHub-interne repositories. De huidige bewering van de aanvaller over ongeveer 3.800 repositories komt voorlopig overeen met ons onderzoek.”
Dit volgt op de melding van GitHub aan BleepingComputer op dinsdagavond dat het bedrijf claims onderzocht over ongeautoriseerde toegang tot interne repositories. Daarbij gaf GitHub aan geen bewijs te hebben dat klantgegevens buiten de getroffen repositories zijn geraakt.
Hoewel GitHub de inbreuk nog niet officieel aan een specifieke partij heeft toegeschreven, claimde de hackgroep TeamPCP dinsdag op het Breached-forum toegang te hebben verkregen tot GitHub-broncode en “ongeveer 4.000 privérepositories”. De groep vroeg daarbij minimaal 50.000 dollar voor de gestolen gegevens.
“Zoals altijd is dit geen losgeldeis. We zijn niet geïnteresseerd in het afpersen van GitHub. Eén koper en wij vernietigen de data aan onze kant. Het lijkt erop dat ons pensioen eraan komt, dus als er geen koper wordt gevonden, lekken we alles gratis,” aldus de cybercriminelen. “Als je interesse hebt, stuur je bod via de onderstaande communicatiekanalen. We zijn niet geïnteresseerd in minder dan 50.000. Het beste bod krijgt het.”
TeamPCP werd eerder in verband gebracht met grootschalige supply-chainaanvallen op ontwikkelplatforms, waaronder GitHub, PyPI, NPM en Docker. Meer recent werd de groep ook gelinkt aan de “Mini Shai-Hulud”-campagne, die eveneens twee OpenAI-medewerkers trof.
VS Code-extensies zijn plug-ins die kunnen worden geïnstalleerd vanuit de VS Code Marketplace, de officiële winkel voor uitbreidingen van Microsofts code-editor. Ze voegen extra functies toe of integreren hulpmiddelen in de editor.
Dit is niet de eerste keer dat er een met malware besmette VS Code-extensie in de Marketplace is aangetroffen. In de afgelopen jaren zijn meerdere kwaadaardige extensies met miljoenen installaties gebruikt om inloggegevens van ontwikkelaars en andere gevoelige gegevens te stelen.
Zo werden vorig jaar VS Code-extensies met 9 miljoen installaties verwijderd vanwege beveiligingsrisico’s. Daarnaast infecteerden nog eens tien extensies, die zich voordeden als legitieme ontwikkeltools, gebruikers met de XMRig-cryptominer.
Later dat jaar wist een kwaadaardige extensie met eenvoudige ransomwarefunctionaliteit de VS Code Marketplace binnen te glippen, nadat een dreigingsactor genaamd WhiteCobra de omgeving had overspoeld met 24 cryptostelende extensies.
Meer recent, in januari, exfiltreerden twee kwaadaardige extensies die werden gepresenteerd als AI-gebaseerde code-assistenten en samen 1,5 miljoen installaties hadden, gegevens van gecompromitteerde ontwikkelsystemen naar servers in China.
Het cloudplatform van GitHub wordt inmiddels gebruikt door ruim 4 miljoen organisaties, waaronder 90% van de Fortune 100, en door meer dan 180 miljoen ontwikkelaars die bijdragen aan meer dan 420 miljoen coderepositories.
downloadfan
