В GitHub взломали 3800 внутренних репозиториев платформы

В GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована в результате атаки на цепочку поставок npm от TanStack на прошлой неделе.

Эта атака приписывается группе хакеров TeamPCP и началась со взлома десятков пакетов npm от TanStack и Mistral AI, а затем быстро распространилась на другие проекты (в том числе UiPath, Guardrails AI и OpenSearch) с использованием украденных учётных данных CI/CD.

TeamPCP была связана с другими крупными атаками на цепочки поставок, нацеленными на платформы для разработчиков кода, включая PyPI, NPM, GitHub и Docker, а равным образом, совсем недавно, с кампанией «Mini Shai-Hulud» (которая равным образом затронула двух сотрудников OpenAI).

В GitHub сообщили о взломе, заявив, что расследуют заявления о несанкционированном доступе к своим внутренним репозиториям. Инцидент произошёл в связи с того, что сотрудник установил вредоносное плагин для Visual Studio Code.

Директор по информационной безопасности GitHub Алексис Уэйлс объявил, что взлом был связан с вредоносной версией Nx Console. Это официальное расширения Nx для Visual Studio Code, которое даёт возможность разработчикам управлять большими репозиториями и многопроектными кодовыми базами, не полагаясь полностью на сложные команды командной строки терминала. Уэйлс добавила, что GitHub с тех пор защитила скомпрометированное девайс и пока не обнаружила доказательств кражи данных клиентов, хранящихся вне репозиториев.

«В понедельник и вторник мы перераспределили критически важные секреты, уделяя первоочередное внимание учётным данным с наибольшим риском. Мы продолжаем анализировать журналы, проверять перераспределение секретов и отслеживать инфраструктуру на предмет любой последующей активности. Мы предпримем дополнительные действия по мере необходимости в ходе расследования», — сказала Уэйлс. 

Хотя в GitHub пока не связали атаку с конкретной хакерской группой или злоумышленником, TeamPCP уже заявила на форуме Breached о доступе к исходному коду GitHub и «~4000 репозиториям закрытого кода» и теперь требует за украденные информация не менее $50 000. 

Накануне разработчики Nx сообщили, что совместно с GitHub и Microsoft расследуют последствия атаки, после того как вредоносная релиз Nx Console 18.95.0 была доступна на Visual Studio Marketplace около 18 минут и на OpenVSX — ещё 36 минут.

Зараженное расширение развёртывало вредоносную полезную нагрузку, предназначенную для кражи учётных данных и секретов для широкого спектра платформ, в том числе npm, AWS, Kubernetes, GitHub и GCP/Docker.

«Недавняя утечка данных из цепочки поставок Tanstack затронула одного из наших разработчиков, в результате чего его учётные данные GitHub были раскрыты через оболочку командной строки GitHub (gh). Это позволило злоумышленнику запускать рабочие процессы в нашем репозитории GitHub в качестве участника проекта. По данным Microsoft и OpenVSX, количество загрузок затронутой версии 18.95.0 составило всего 28 и 41 соответственно. [...] Через два дня после атаки наша анализ зафиксировала приблизительно 6000 активаций расширений из VSCode и 0 из других редакторов (в том числе форки VSCode, такие как Cursor)», — сообщила команда NX.

В последние годы множество других вредоносных расширений для VS Code с миллионами установок использовались для кражи учётных данных разработчиков и другой конфиденциальной информации. В прошлом году некоторое количество расширений для с 9 млн установок были удалены с официальной платформы в связи с угроз безопасности, в том числе десять, которые заразили пользователей криптомайнером XMRig, а позже на торговой площадке было обнаружено вредоносное расширение с базовыми функциями вымогателя.

В январе ещё два расширения, маскирующиеся под ИИ-помощников по программированию, были использованы для кражи данных из скомпрометированных систем разработчиков на серверы в Китае.