Платформа для разработчиков GitHub, которая является ключевым инструментом для миллионов программистов по всему миру, столкнулась с инцидентом внутренней безопасности. Как пишет издание BleepingComputer, компания официально подтвердила факт несанкционированного доступа к значительному количеству своих проектов.
Актуально Тысячи людей установили фейковые расширения в Chrome и теряют данные: проверьте, или вы среди них
Как один клик поставил под угрозу тысячи проектов?
Причиной инцидента стала невнимательность одного из сотрудников, который установил вредоносное расширение для популярного редактора кода Visual Studio Code (VS Code). Такие программы обычно предназначены для улучшения функциональности программы и упрощения работы, но в этом случае оно оказалось троянским конем. После установки вредоносное дополнение, вероятно, предоставило злоумышленникам доступ к внутренним системам компании.
Вследствие этого киберинцидента было скомпрометировано около 3800 внутренних репозиториев. Репозиторий – это, по сути, хранилище, где хранятся исходный код, документация и все файлы, связанные с определенным проектом. Хотя компания не уточнила, какая именно информация содержалась в этих репозиториях, взлом такого количества внутренних проектов является серьезной угрозой безопасности.
Компания реагирует
Компания мгновенно отреагировала на угрозу, как только ее обнаружили. Злонамеренное расширение, название которого не разглашается, было удалено с маркетплейса VS Code, а устройство сотрудника – изолировано.
Вчера мы обнаружили и локализовали компрометацию устройства сотрудника, связанную с зараженным расширением VS Code. Мы удалили вредоносную версию расширения, изолировали конечную точку и немедленно начали реагирование на инцидент,
– официально прокомментировали в компании GitHub.
По предварительным данным расследования, атака коснулась исключительно внутренних хранилищ GitHub. Пока нет никаких доказательств того, что данные клиентов, которые хранятся вне пострадавших репозиториев, пострадали.
Наша текущая оценка заключается в том, что активность касалась только эксфильтрации внутренних репозиториев GitHub. Текущие заявления злоумышленников о примерно 3 800 репозиториев по направлению согласуются с нашим расследованием в настоящее время,
– добавили представители платформы.
Кто стоит за атакой?
Ответственность за взлом взяла на себя хакерская группировка TeamPCP. На известном киберпреступном форуме Breached они заявили о доступе к коду GitHub и предложили купить похищенные данные по меньшей мере за 50 000 долларов. Злоумышленники подчеркнули, что не имеют целью шантажировать компанию.
Как всегда, это не выкуп, нас не интересует вымогательство средств у Github. Один покупатель – и мы уничтожаем данные со своей стороны. Похоже, что наша пенсия уже скоро, поэтому, если покупателя не найдут, мы обнародуем их бесплатно,
– заявили киберпреступники, добавив, что лучшее предложение получит полный доступ к информации.
Заявление хакеров / Скриншот BleepingComputer
Группа TeamPCP уже не впервые фигурирует в отчетах по кибербезопасности:
- Ранее ее связывали с массовыми атаками на цепочки поставок,, которые были направлены на такие платформы как PyPI, NPM и Docker.
- Также они причастны к кампании "Mini Shai-Hulud", от которой пострадали даже двое сотрудников OpenAI.
Что дальше?
Сейчас GitHub активно работает над минимизацией рисков. Специалисты компании провели ротацию критически важных секретных ключей, уделив особое внимание тем учетным данным, которые имеют наибольшее влияние на систему.
Процесс анализа логов и мониторинга продолжается, чтобы предотвратить любую дальнейшую активность хакеров. Полный отчет об инциденте обещают опубликовать после завершения расследования.
Смотрите также Иранские хакеры атаковали ведущего южнокорейского производителя электроники
Почему мы должны обратить на это внимание?
Этот инцидент снова поднял вопрос безопасности расширений в магазине VS Code Marketplace. Согласно нашему анализу, это далеко не первый случай, когда через официальный магазин Microsoft распространялось вредоносное программное обеспечение.
- В прошлом году с платформы удалили расширения, которые имели 9 миллионов установок, из-за угрозы безопасности, а еще 10 приложений скрыто устанавливали криптомайнеры XMRig.
- В январе 2024 года два расширения, позиционировавшиеся как помощники для написания кода на базе искусственного интеллекта, похищали данные разработчиков и отправляли их на серверы в Китае.
На сегодня облачная платформа GitHub является критически важной инфраструктурой для всего мира. Ею пользуются более 4 миллионов организаций, включая 90 процентов компаний из списка Fortune 100, и более 180 миллионов разработчиков, которые работают над более чем 420 миллионами репозиториев.
Этот случай в целом является тревожным напоминанием о том, насколько уязвимой может быть даже инфраструктура технологических гигантов. Атака через вредоносное расширение для широко используемого инструмента разработки, например VS Code, демонстрирует один из самых опасных векторов атак – так называемую атаку на цепочку поставки программного обеспечения. Злоумышленники все чаще нацеливаются не на сами компании, а на инструменты, которыми пользуются их сотрудники.
Для всей ИТ-отрасли и для каждого отдельного разработчика это служит важным уроком. Необходимо с чрезвычайной осторожностью относиться к установке любых сторонних дополнений и расширений, даже если они происходят из официальных магазинов. Тщательная проверка, минимизация количества установленных инструментов и повышение осведомленности о кибербезопасности среди персонала становятся критически важными для защиты от подобных инцидентов в будущем.
Вам также будет интересно вспомнить: какая ситуация с безопасностью сейчас на рынке
Атаки через расширения для браузеров и редакторов кода стали распространенным явлением. Злоумышленники часто маскируют вредоносный код под полезные инструменты, используя популярные темы, например искусственный интеллект, для заманивания пользователей. Например, ранее была разоблачена целая кампания из более 30 фейковых расширений для Google Chrome, которые выдавали себя за AI-ассистентов. Эти приложения, установлены более 300 тысячами пользователей, на самом деле похищали содержимое посещенных страниц и даже перехватывали переписку в Gmail.
Опасность заключается в том, что даже расширения с высоким рейтингом и миллионами загрузок могут представлять угрозу. Так, популярный инструмент Urban VPN Proxy после одного из обновлений начал тайно собирать разговоры пользователей с AI-чатами, такими как ChatGPT и Gemini, и передавать их сторонней компании. В других случаях уязвимости в расширениях приводят к прямым финансовым убыткам, как это произошло с пользователями криптокошелька Trust Wallet, где из-за проблемы в браузерной версии было похищено 7 миллионов долларов.
Особую опасность такие атаки представляют для IT-компаний и разработчиков, ведь компрометация их аккаунтов может привести к утечке кода. Ценность такой информации демонстрирует случай с компанией Anthropic, которая случайно обнародовала сотни тысяч строк кода своего инструмента Claude Code, что дало конкурентам и исследователям уникальную возможность заглянуть во внутреннюю логику продукта. Понимая это, злоумышленники целенаправленно атакуют разработчиков, используя для этого даже саму платформу GitHub.
В одной из кампаний хакеры создавали фальшивые страницы популярных программ на GitHub, чтобы заставить пользователей macOS загрузить вирус-похититель, способный похищать пароли и данные криптокошельков.