Napatunayan ng GitHub noong Martes na nakakuha ang mga attacker ng hindi awtorisadong pag-access sa kanilang mga panloob na repository pagkatapos makapagkompromiso sa isang device ng empleyado sa pamamagitan ng isang nasirang Visual Studio Code extension. Ang platform na may-ari ng Microsoft ay nakakita at nakapag-imbak ng kompromiso, tinanggal ang masasamang extension, isinokoy ang apektadong endpoint, at agad nagsimula ng pagtugon sa insidente.
Sinabi ng kumpanya na ang kanilang kasalukuyang pagtataya ay ang paglabas ay tumutok lamang sa pag-exfiltrate ng mga loob na repository ng GitHub. Hindi naniniwala na naapektuhan ang mga customer repository, mga enterprise organisasyon, at mga user data na naka-store sa labas ng mga loob na sistema ng GitHub.
Ang Saklaw ng Paglabas
Kumpirmado ng GitHub na ang mga alegasyon ng attacker tungkol sa higit sa 3,800 internal na repository ay direksyonal na tugma sa kanilang sariling imbestigasyon. Ang threat group na TeamPCP ay nagsasabing responsable sa paglabas at ayon sa mga ulat, nagtatangkang benta ang nasirang dataset sa mga ilalim na cybercrime forum para sa higit sa $50,000. Sinasabing kasama sa data ang proprietary na platform source code at internal na organisasyon files mula sa halos 4,000 private repository.
Sinabi ng GitHub na mabilis nilang isinagawa ang pag-rotate ng mga kritikal na credentials pagkatapos makita ang paglabas, na unaang pinagsisikapan ang mga pinakamalaking epekto ng mga lihim. Patuloy pa ang kompanya sa pagsusuri ng mga log, pagpapatotoo sa pag-rotate ng mga lihim, at pagmamanman para sa karagdagang gawain.
Bakit Serioso ang Pag-access sa Internal Repository
Sinabi ng kumpanya na walang ebidensya ng epekto sa impormasyon ng customer na naka-store sa labas ng mga internal na repository. Tinede ng mga eksperto sa seguridad na mahalaga ang partikular na pahayag. Walang ebidensya ng epekto ay hindi isang pagpapatotoo na ligtas ang data ng customer. Ito ay nangangahulugan na patuloy pa ang imbestigasyon at hindi pa nakakita ang buong sakop ng pinsala.
Karaniwang naglalaman ang mga panloob na repository ng mga konpigurasyon ng infrastraktura, mga iskrip sa deployment, panloob na dokumentasyon ng API, mga kredensyal sa staging, mga feature flag, mga hook sa pagmamonitor, at mga hindi dokumentadong serbisyo. Ang pag-access sa panloob na source code ay nagbibigay ng isang blueprint ng buong arkitektura ng isang sistema, kahit walang direkta access sa customer data.
Ang mga propesyonal sa seguridad ay nagpaalala rin na mahalaga ang eksplisitong pagbanggit ng GitHub sa pagmamasid sa mga susunod na gawain. Rarely ang modernong pag-atake na tumigil sa unang pagkakataon. Ang karaniwang pag-unlad ay mula sa unang pagkakataon patungo sa pagmamasid, pagpapalawig ng pribilehiyo, pagpapanatili, at pagkatapos ay isang pangalawang alon ng targeted na gawain pagkatapos paniniwalaan ng mga tagapag-ingat na natapos na ang banta.
Ano ang ginagawa ng GitHub
Sinabi ng GitHub na ang mga kritikal na lihim ay binago sa parehong araw na natuklasan ang paglabas, na una ang pinakamalalaking credential. Patuloy pa ngang sinusubaybayan ng kumpanya ang infrastruktura para sa anumang pangalawang aktibidad, at ipapalabas ang mas detalyadong ulat sa insidente pagkatapos matapos ang imbestigasyon. Babatidin ang mga customer sa pamamagitan ng mga itinakdang channel ng pagtugon sa insidente kung may anumang epekto sa kanilang data.
Inirerekomenda sa mga developer na gumagamit ng GitHub na suriin at i-rotate ang anumang API key na naka-store sa mga repository bilang pag-iingat, kahit na hindi naniniwala na direkta na apektado ang mga customer repository.