GitHub став жертвою атаки хакерів: тисячі проєктів зламані через неуважність працівника

Платформа для розробників GitHub, яка є ключовим інструментом для мільйонів програмістів по всьому світу, зіткнулася з інцидентом внутрішньої безпеки. Як пише видання BleepingComputer, компанія офіційно підтвердила факт несанкціонованого доступу до значної кількості своїх проєктів.

Актуально Тисячі людей встановили фейкові розширення в Chrome і втрачають дані: перевірте, чи ви серед них

Як один клік поставив під загрозу тисячі проєктів?

Причиною інциденту стала неуважність одного зі співробітників, який встановив шкідливе розширення для популярного редактора коду Visual Studio Code (VS Code). Такі програми зазвичай призначені для покращення функціональності програми та спрощення роботи, але в цьому випадку воно виявилося троянським конем. Після встановлення шкідливе доповнення, ймовірно, надало зловмисникам доступ до внутрішніх систем компанії.

Внаслідок цього кіберінциденту було скомпрометовано близько 3800 внутрішніх репозиторіїв. Репозиторій – це, по суті, сховище, де зберігаються вихідний код, документація та всі файли, пов'язані з певним проєктом. Хоча компанія не уточнила, яка саме інформація містилася в цих репозиторіях, злам такої кількості внутрішніх проєктів є серйозною загрозою безпеці.

Компанія реагує

Компанія миттєво відреагувала на загрозу, щойно її виявили. Зловмисне розширення, назва якого не розголошується, було видалено з маркетплейсу VS Code, а пристрій співробітника – ізольовано. 

Учора ми виявили та локалізували компрометацію пристрою співробітника, пов'язану з зараженим розширенням VS Code. Ми видалили шкідливу версію розширення, ізолювали кінцеву точку та негайно розпочали реагування на інцидент, 
– офіційно прокоментували в компанії GitHub.

За попередніми даними розслідування, атака торкнулася виключно внутрішніх сховищ GitHub. Поки що немає жодних доказів того, що дані клієнтів, які зберігаються поза межами постраждалих репозиторіїв, постраждали.

Наша поточна оцінка полягає в тому, що активність стосувалася лише ексфільтрації внутрішніх репозиторіїв GitHub. Поточні заяви зловмисників про приблизно 3 800 репозиторіїв за напрямком узгоджуються з нашим розслідуванням на цей час, 
– додали представники платформи.

Хто стоїть за атакою?

Відповідальність за злам взяло на себе хакерське угруповання TeamPCP. На відомому кіберзлочинному форумі Breached вони заявили про доступ до коду GitHub і запропонували купити викрадені дані щонайменше за 50 000 доларів. Зловмисники підкреслили, що не мають на меті шантажувати компанію.

Як завжди, це не викуп, нас не цікавить вимагання коштів у Github. Один покупець – і ми знищуємо дані зі свого боку. Схоже, що наша пенсія вже скоро, тому, якщо покупця не знайдуть, ми оприлюднимо їх безплатно, 
– заявили кіберзлочинці, додавши, що найкраща пропозиція отримає повний доступ до інформації.

Заява хакерів / Скриншот BleepingComputer

Група TeamPCP вже не вперше фігурує у звітах з кібербезпеки:

• Раніше її пов'язували з масовими атаками на ланцюжки постачання, що були спрямовані на такі платформи як PyPI, NPM та Docker.
• Також вони причетні до кампанії "Mini Shai-Hulud", від якої постраждали навіть двоє співробітників OpenAI.

Що далі?

Зараз GitHub активно працює над мінімізацією ризиків. Фахівці компанії провели ротацію критично важливих секретних ключів, приділивши особливу увагу тим обліковим даним, які мають найбільший вплив на систему.

Процес аналізу логів та моніторингу триває, щоб запобігти будь-якій подальшій активності хакерів. Повний звіт про інцидент обіцяють опублікувати після завершення розслідування.

Дивіться також Іранські хакери атакували провідного південнокорейського виробника електроніки 

Чому ми мусимо звернути на це увагу?

Цей інцидент знову підняв питання безпеки розширень у магазині VS Code Marketplace. Згідно з нашим аналізом, це далеко не перший випадок, коли через офіційний магазин Microsoft розповсюджувалося шкідливе програмне забезпечення.

• Минулого року з платформи видалили розширення, які мали 9 мільйонів встановлень, через загрози безпеці, а ще 10 додатків приховано встановлювали криптомайнери XMRig.
• У січні 2024 року два розширення, що позиціонувалися як помічники для написання коду на базі штучного інтелекту, викрадали дані розробників і відправляли їх на сервери в Китаї.

На сьогодні хмарна платформа GitHub є критично важливою інфраструктурою для всього світу. Нею користуються понад 4 мільйони організацій, включаючи 90 відсотків компаній зі списку Fortune 100, та понад 180 мільйонів розробників, які працюють над більш ніж 420 мільйонами репозиторіїв.

Цей випадок у цілому є тривожним нагадуванням про те, наскільки вразливою може бути навіть інфраструктура технологічних гігантів. Атака через шкідливе розширення для широко використовуваного інструменту розробки, як-от VS Code, демонструє один із найнебезпечніших векторів атак – так звану атаку на ланцюжок постачання програмного забезпечення. Зловмисники все частіше націлюються не на самі компанії, а на інструменти, якими користуються їхні співробітники.

Для всієї ІТ-галузі та для кожного окремого розробника це слугує важливим уроком. Необхідно з надзвичайною обережністю ставитися до встановлення будь-яких сторонніх доповнень і розширень, навіть якщо вони походять з офіційних магазинів. Ретельна перевірка, мінімізація кількості встановлених інструментів та підвищення обізнаності про кібербезпеку серед персоналу стають критично важливими для захисту від подібних інцидентів у майбутньому.

Вам також буде цікаво пригадати: яка ситуація з безпекою зараз на ринку

Атаки через розширення для браузерів та редакторів коду стали поширеним явищем. Зловмисники часто маскують шкідливий код під корисні інструменти, використовуючи популярні теми, як-от штучний інтелект, для заманювання користувачів. Наприклад, раніше була викрита ціла кампанія з понад 30 фейкових розширень для Google Chrome, які видавали себе за AI-асистентів. Ці додатки, встановлені понад 300 тисячами користувачів, насправді викрадали вміст відвіданих сторінок та навіть перехоплювали листування в Gmail.

Небезпека полягає в тому, що навіть розширення з високим рейтингом та мільйонами завантажень можуть становити загрозу. Так, популярний інструмент Urban VPN Proxy після одного з оновлень почав таємно збирати розмови користувачів з AI-чатами, такими як ChatGPT та Gemini, і передавати їх сторонній компанії. В інших випадках вразливості в розширеннях призводять до прямих фінансових збитків, як це сталося з користувачами криптогаманця Trust Wallet, де через проблему в браузерній версії було викрадено 7 мільйонів доларів.

Особливу небезпеку такі атаки становлять для IT-компаній та розробників, адже компрометація їхніх акаунтів може призвести до витоку коду. Цінність такої інформації демонструє випадок з компанією Anthropic, яка випадково оприлюднила сотні тисяч рядків коду свого інструмента Claude Code, що дало конкурентам та дослідникам унікальну можливість зазирнути у внутрішню логіку продукту. Розуміючи це, зловмисники цілеспрямовано атакують розробників, використовуючи для цього навіть саму платформу GitHub.

В одній з кампаній хакери створювали фальшиві сторінки популярних програм на GitHub, щоб змусити користувачів macOS завантажити вірус-викрадач, здатний викрадати паролі та дані криптогаманців.