|
Professor Seleznov
|
В GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована в результате атаки на цепочку поставок npm от TanStack на прошлой неделе.
Эта атака приписывается группе хакеров TeamPCP и началась со взлома десятков пакетов npm от TanStack и Mistral AI, а затем быстро распространилась на другие проекты (включая UiPath, Guardrails AI и OpenSearch) с использованием украденных учётных данных CI/CD.
TeamPCP была связана с другими крупными атаками на цепочки поставок, нацеленными на платформы для разработчиков кода, включая PyPI, NPM, GitHub и Docker, а также, совсем недавно, с кампанией «Mini Shai-Hulud» (которая также затронула двух сотрудников OpenAI).
В GitHub сообщили о взломе, заявив, что расследуют заявления о несанкционированном доступе к своим внутренним репозиториям. Инцидент произошёл из-за того, что сотрудник установил вредоносное расширение для Visual Studio Code.
Директор по информационной безопасности GitHub Алексис Уэйлс заявил, что взлом был связан с вредоносной версией Nx Console. Это официальное расширения Nx для Visual Studio Code, которое позволяет разработчикам управлять большими репозиториями и многопроектными кодовыми базами, не полагаясь полностью на сложные команды командной строки терминала. Уэйлс добавила, что GitHub с тех пор защитила скомпрометированное устройство и пока не обнаружила доказательств кражи данных клиентов, хранящихся вне репозиториев.
«В понедельник и вторник мы перераспределили критически важные секреты, уделяя первоочередное внимание учётным данным с наибольшим риском. Мы продолжаем анализировать журналы, проверять перераспределение секретов и отслеживать инфраструктуру на предмет любой последующей активности. Мы предпримем дополнительные действия по мере необходимости в ходе расследования», — сказала Уэйлс.
Хотя в GitHub пока не связали атаку с конкретной хакерской группой или злоумышленником, TeamPCP уже заявила на форуме Breached о доступе к исходному коду GitHub и «~4000 репозиториям закрытого кода» и теперь требует за украденные данные не менее $50 000.
Накануне разработчики Nx сообщили, что совместно с GitHub и Microsoft расследуют последствия атаки, после того как вредоносная версия Nx Console 18.95.0 была доступна на Visual Studio Marketplace около 18 минут и на OpenVSX — ещё 36 минут.
Зараженное расширение развёртывало вредоносную полезную нагрузку, предназначенную для кражи учётных данных и секретов для широкого спектра платформ, включая npm, AWS, Kubernetes, GitHub и GCP/Docker.
«Недавняя утечка данных из цепочки поставок Tanstack затронула одного из наших разработчиков, в результате чего его учётные данные GitHub были раскрыты через интерфейс командной строки GitHub (gh). Это позволило злоумышленнику запускать рабочие процессы в нашем репозитории GitHub в качестве участника проекта. По данным Microsoft и OpenVSX, количество загрузок затронутой версии 18.95.0 составило всего 28 и 41 соответственно. [...] Через два дня после атаки наша аналитика зафиксировала около 6000 активаций расширений из VSCode и 0 из других редакторов (включая форки VSCode, такие как Cursor)», — сообщила команда NX.
В последние годы множество других вредоносных расширений для VS Code с миллионами установок использовались для кражи учётных данных разработчиков и другой конфиденциальной информации. В прошлом году несколько расширений для с 9 млн установок были удалены с официальной платформы из-за угроз безопасности, в том числе десять, которые заразили пользователей криптомайнером XMRig, а позже на торговой площадке было обнаружено вредоносное расширение с базовыми функциями вымогателя.
В январе ещё два расширения, маскирующиеся под ИИ-помощников по программированию, были использованы для кражи данных из скомпрометированных систем разработчиков на серверы в Китае.-Источник
|
|
|
