В GitHub взломали 3800 внутренних репозиториев платформы

3 мин
В GitHub взломали 3800 внутренних репозиториев платформы

В GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована в результате атаки на цепочку поставок npm от TanStack на прошлой неделе.

Эта атака приписывается группе хакеров TeamPCP и началась со взлома десятков пакетов npm от TanStack и Mistral AI, а затем быстро распространилась на другие проекты (в том числе UiPath, Guardrails AI и OpenSearch) с использованием украденных учётных данных CI/CD.

TeamPCP была связана с другими крупными атаками на цепочки поставок, нацеленными на платформы для разработчиков кода, включая PyPI, NPM, GitHub и Docker, а равным образом, совсем недавно, с кампанией «Mini Shai-Hulud» (которая равным образом затронула двух сотрудников OpenAI).

В GitHub сообщили о взломе, заявив, что расследуют заявления о несанкционированном доступе к своим внутренним репозиториям. Инцидент произошёл в связи с того, что сотрудник установил вредоносное плагин для Visual Studio Code.

Директор по информационной безопасности GitHub Алексис Уэйлс объявил, что взлом был связан с вредоносной версией Nx Console. Это официальное расширения Nx для Visual Studio Code, которое даёт возможность разработчикам управлять большими репозиториями и многопроектными кодовыми базами, не полагаясь полностью на сложные команды командной строки терминала. Уэйлс добавила, что GitHub с тех пор защитила скомпрометированное девайс и пока не обнаружила доказательств кражи данных клиентов, хранящихся вне репозиториев.

«В понедельник и вторник мы перераспределили критически важные секреты, уделяя первоочередное внимание учётным данным с наибольшим риском. Мы продолжаем анализировать журналы, проверять перераспределение секретов и отслеживать инфраструктуру на предмет любой последующей активности. Мы предпримем дополнительные действия по мере необходимости в ходе расследования», — сказала Уэйлс. 

Хотя в GitHub пока не связали атаку с конкретной хакерской группой или злоумышленником, TeamPCP уже заявила на форуме Breached о доступе к исходному коду GitHub и «~4000 репозиториям закрытого кода» и теперь требует за украденные информация не менее $50 000. 

Накануне разработчики Nx сообщили, что совместно с GitHub и Microsoft расследуют последствия атаки, после того как вредоносная релиз Nx Console 18.95.0 была доступна на Visual Studio Marketplace около 18 минут и на OpenVSX — ещё 36 минут.

Зараженное расширение развёртывало вредоносную полезную нагрузку, предназначенную для кражи учётных данных и секретов для широкого спектра платформ, в том числе npm, AWS, Kubernetes, GitHub и GCP/Docker.

«Недавняя утечка данных из цепочки поставок Tanstack затронула одного из наших разработчиков, в результате чего его учётные данные GitHub были раскрыты через оболочку командной строки GitHub (gh). Это позволило злоумышленнику запускать рабочие процессы в нашем репозитории GitHub в качестве участника проекта. По данным Microsoft и OpenVSX, количество загрузок затронутой версии 18.95.0 составило всего 28 и 41 соответственно. [...] Через два дня после атаки наша анализ зафиксировала приблизительно 6000 активаций расширений из VSCode и 0 из других редакторов (в том числе форки VSCode, такие как Cursor)», — сообщила команда NX.

В последние годы множество других вредоносных расширений для VS Code с миллионами установок использовались для кражи учётных данных разработчиков и другой конфиденциальной информации. В прошлом году некоторое количество расширений для с 9 млн установок были удалены с официальной платформы в связи с угроз безопасности, в том числе десять, которые заразили пользователей криптомайнером XMRig, а позже на торговой площадке было обнаружено вредоносное расширение с базовыми функциями вымогателя.

В январе ещё два расширения, маскирующиеся под ИИ-помощников по программированию, были использованы для кражи данных из скомпрометированных систем разработчиков на серверы в Китае.

Читают сейчас

25 минут назад

Прокуратура Подмосковья выступает против запретов на кикшеринг и требует отмены ограничений в ряде городов региона

Прокуратура Московской области выступила против запретов на прокат электросамокатов, которые ввели в Лобне, Раменском, Люберцах и Котельниках. Об этом сообщило издание «Коммерсантъ». Ведомство считает

Параноидальный Claude. Sonnet 5 и Fable

1 час назад

Параноидальный Claude. Sonnet 5 и Fable

После "повторного выпуска" модели Mythos, она же Fable 5 от Anthropic для пользователей платных подписок, много пользователей столкнулись с проблемой, когда схема начинает подозревать пользователя в п

Anthropic научилась ознакомиться мысли Claude, которые ИИ не сообщает вслух

2 часа назад

Anthropic научилась ознакомиться мысли Claude, которые ИИ не сообщает вслух

Исследователи Anthropic обнаружили внутри Claude небольшой набор нейронных паттернов, который они назвали J-space. Каждый паттерн связан с конкретным словом, но его активация не означает, что схема эт

Минцифры представило программа «Госкан» для быстрой проверки данных по QR-коду

4 часа назад

Минцифры представило программа «Госкан» для быстрой проверки данных по QR-коду

Минцифры РФ сообщило о выпуске мобильного приложения «Госкан» для быстрой проверки данных по QR-коду. Подход помогает сотрудникам организаций и ИП проверять информация по QR‑коду из приложений «Госусл

4 часа назад

Anthropic решила заняться разработкой собственных лекарств — и это не шутки

Anthropic провела ивент «The Briefing: AI for Science», где анонсировала Claude Science — «AI-рабочую среду для учёных», которая собирает разрозненные инструменты и наборы данных в одном интерфейсе и