GitHub связывает взлом репозитория с атакой на цепочку поставок TanStack npm

По данным GitHub, хакеры, взломавшие 3800 внутренних репозиториев, получили доступ с помощью вредоносной версии расширения Nx Console для VS Code, скомпрометированной в результате атаки на цепочку поставок TanStack npm на прошлой неделе.

Эта атака была приписана хакерской группировке TeamPCP и началась с компрометации десятков пакетов npm TanStack и Mistral AI, а затем быстро распространилась на другие проекты (включая UiPath, Guardrails AI и OpenSearch) с использованием украденных учетных данных CI/CD.

TeamPCP была связана с другими крупными атаками на цепочки поставок, нацеленными на платформы с кодом для разработчиков, включая PyPI, NPM, GitHub, и Docker, а совсем недавно — с кампанией по атаке на цепочки поставок под названием «Mini Shai-Hulud» (которая также затронула двух сотрудников OpenAI).

GitHub сообщил о взломе во вторник, заявив, что расследует заявления о несанкционированном доступе к своим внутренним репозиториям, и сообщил BleepingComputer, что инцидент произошел в результате того, что сотрудник установил вредоносное расширение Visual Studio Code (VS Code), не раскрыв название расширения.

В блоге, опубликованном в среду вечером, директор по информационной безопасности GitHub Алексис Уэйлс сообщил, что взлом произошел из-за вредоносной версии Nx Console — официального расширения Visual Studio Code для Nx, которое позволяет разработчикам управлять большими репозиториями и кодовыми базами для нескольких проектов, не полагаясь полностью на сложные команды интерфейса командной строки.

Уэйкс добавил, что с тех пор GitHub обеспечил безопасность скомпрометированного устройства и не обнаружил признаков кражи данных клиентов, хранящихся за пределами затронутых репозиториев.

«В понедельник и во вторник мы сменили критически важные учетные данные, отдав приоритет наиболее значимым, — сказал Уэльс. — Мы продолжаем анализировать логи, проверять смену учетных данных и следить за нашей инфраструктурой на предмет дальнейших действий. Мы примем дополнительные меры по мере необходимости в ходе расследования».

Хотя GitHub пока не удалось установить, кто именно стоит за атакой, киберпреступная группировка TeamPCP во вторник заявила на форуме Breached, что получила доступ к исходному коду GitHub и «~4000 репозиториев с приватным кодом», и теперь требует за украденные данные не менее 50 000 долларов.

TeamPCP заявляет о взломе GitHub (Мэтью Мейнард)

Это произошло после того, как разработчики Nx сообщили в понедельник, что они совместно с GitHub и Microsoft изучают последствия атаки после того, как вредоносная версия Nx Console 18.95.0 была доступна на Visual Studio Marketplace в течение примерно 18 минут, а на OpenVSX — ещё 36 минут.

Вредоносное расширение содержало полезную нагрузку, предназначенную для кражи учетных данных и секретов с различных платформ, включая npm, AWS, Kubernetes, GitHub и GCP/Docker.

«Один из наших разработчиков был скомпрометирован в результате недавней атаки на цепочку поставок Tanstack, в результате которой его учетные данные GitHub были раскрыты через интерфейс командной строки GitHub (gh). Это позволило злоумышленнику запускать рабочие процессы в нашем репозитории GitHub в качестве участника», — сообщили в команде NX.

«По данным Microsoft и OpenVSX, количество загрузок уязвимой версии 18.95.0 составило всего 28 и 41 соответственно. [..] Через два дня после атаки наша аналитика зафиксировала около 6000 активаций расширений в VSCode и ни одной — в других редакторах (включая форки VSCode, такие как Cursor)».

За последние годы на официальном маркетплейсе VS Code появилось множество вредоносных расширений для VS Code, которые были установлены миллионами пользователей и использовались для кражи учетных данных разработчиков и других конфиденциальных данных.

В прошлом году несколько расширений VS Code с 9 миллионами установок были удалены из-за угроз безопасности, в том числе 10, которые заразили пользователей XMRig cryptominer, в то время как вредоносное расширение с базовыми возможностями программы-вымогателя позже было обнаружено на VS Code marketplace после того, как исполнитель угрозы WhiteCobra заполонил его 24 расширениями для кражи криптовалют.

В январе еще два расширения, выдававшие себя за помощников по написанию кода на основе искусственного интеллекта, с 1,5 миллионами установок, использовались для экстракции данных из взломанных систем разработчиков на серверы в Китае.

Облачной платформой GitHub пользуются более 4 миллионов организаций (в том числе 90 % компаний из списка Fortune 100) и более 180 миллионов разработчиков, которые вносят свой вклад в более чем 420 миллионов репозиториев кода

Редактор: AndreyEx