الصفحة الرئيسية
الأخبار
التفاصيل

يؤكد GitHub سرقة 3800 مستودع داخلي عبر إضافة VS Code مُسممة

iconKuCoinFlash
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
أكد GitHub أن 3800 مستودع داخلي تم سرقتها عبر إضافة VS Code مسمومة، مع إشارات من بيانات على السلسلة تشير إلى عملات بديلة يجب مراقبتها وسط تزايد المخاوف الأمنية. استخدم المهاجمون نسخة خبيثة من Nx Console تم رفعها في 18 مايو، وسرقوا بيانات الاعتماد والبيانات الحساسة. تم إزالة الإضافة خلال 11 دقيقة، لكن بعض موظفي GitHub كانوا قد قاموا بالفعل بتنزيلها. وقامت فرق الأمن بتبديل المفاتيح وتحليل السجلات. تُبرز هذه الخرق الحاجة إلى ضوابط أكثر صرامة، خاصة مع اكتساب العملات البديلة التي يجب مراقبتها زخمًا في السوق.

أخبار ME، في 20 مايو (UTC+8)، وفقًا لمراقبة Beating، أصدر GitHub إعلانًا أمنيًا رسميًا يؤكد أن جهاز أحد الموظفين أصيب بإضافة VS Code مُسممة، مما تسبب في وصول غير مصرح به إلى مستودعات الكود الداخلية. زعم المهاجمون أنهم قاموا بحزم وسرقة حوالي 3800 مستودع داخلي من GitHub، وأقرّت الشركة بأن هذا الادعاء يتماشى مع نتائج التحقيق الحالية. الإضافة الضارة المعنية كانت Nx Console (الإصدار v18.95.0)، التي تم نشرها مؤقتًا في سوق Microsoft Visual Studio Code في 18 مايو. حصل المهاجمون على صلاحيات النشر من خلال سرقة رموز المساهمين، ثم نشروا نسخة ضارة تحتوي على برنامج سرقة بيانات الاعتماد إلى السوق. على الرغم من أن فريق Nx اكتشف التصرف غير الطبيعي وأزال النسخة خلال 11 دقيقة، إلا أن بعض موظفي GitHub قاموا بتنزيلها وتأثروا خلال هذه الفترة. يعمل هذا الحمل الضار في الخلفية على قراءة تلقائية لبيانات اعتماد Git الخاصة بالمضيف، وتخزين إضافات VS Code، ومفاتيح AWS، وبيانات حساسة من 1Password. هذه البيانات سمحت للمهاجمين الخارجيين بتجاوز الحواجز الأمنية الخارجية وسرقة مستودعات الكود الداخلية لـ GitHub مباشرة. أفاد GitHub أنه اكتشف وتحكم في اختراق الجهاز هذا في 19 مايو. لخفض المخاطر، قام فريق الأمن بتبديل جميع المفاتيح الأساسية بشكل عاجل أمس والليلة الماضية، مع إعطاء الأولوية للبيانات الحساسة ذات القيمة العالية. حاليًا، يواصل الفريق تحليل السجلات ومراقبة الأنشطة اللاحقة، وسيتم نشر التقرير الكامل بعد انتهاء التحقيق. (المصدر: BlockBeats)

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.