O GitHub confirmou na terça-feira que atacantes obtiveram acesso não autorizado aos seus repositórios internos após comprometer um dispositivo de um funcionário por meio de uma extensão do Visual Studio Code envenenada. A plataforma proprietária da Microsoft detectou e contive o comprometimento, removeu a extensão maliciosa, isolou o ponto afetado e iniciou imediatamente a resposta ao incidente.
A empresa disse que sua avaliação atual é que a violação envolveu apenas a extração de repositórios internos do GitHub. Os repositórios de clientes, organizações empresariais e dados de usuários armazenados fora dos sistemas internos do GitHub não se acredita terem sido afetados.
A Dimensão da Violação
O GitHub confirmou que as alegações do atacante sobre aproximadamente 3.800 repositórios internos são direcionalmente consistentes com sua própria investigação. O grupo de ameaças TeamPCP reivindicou responsabilidade pela violação e supostamente está tentando vender o conjunto de dados roubado em fóruns cibernéticos subterrâneos por mais de US$ 50.000. O grupo alega que os dados incluem código-fonte proprietário da plataforma e arquivos internos da organização de aproximadamente 4.000 repositórios privados.
O GitHub disse que agiu rapidamente para rotacionar credenciais críticas após detectar a violação, priorizando primeiro os segredos de maior impacto. A empresa continua analisando logs, validando a rotação de segredos e monitorando atividades subsequentes.
Por que o acesso ao repositório interno é sério
A empresa disse que não tem evidências de impacto nas informações dos clientes armazenadas fora dos repositórios internos. Pesquisadores de segurança observaram que a formulação específica é importante. Ausência de evidências de impacto não é uma confirmação de que os dados dos clientes estão seguros. Significa que a investigação está em andamento e o alcance total do dano ainda não foi determinado.
Repositórios internos normalmente contêm configurações de infraestrutura, scripts de implantação, documentação de API interna, credenciais de homologação, sinalizadores de recurso, ganchos de monitoramento e serviços não documentados. O acesso ao código-fonte interno fornece efetivamente um blueprint da arquitetura de todo o sistema, mesmo sem acesso direto aos dados dos clientes.
Profissionais de segurança também destacaram como significativa a menção explícita do GitHub sobre a monitoração de atividades subsequentes. Ataques modernos raramente param no acesso inicial. A progressão padrão vai do ponto de entrada inicial até a reconhecimento, escalonamento de privilégios, persistência e, em seguida, uma segunda onda de atividades direcionadas após os defensores acreditarem que a ameaça foi contida.
O que o GitHub está fazendo
O GitHub informou que segredos críticos foram rotacionados no mesmo dia em que a violação foi detectada, com as credenciais mais sensíveis sendo tratadas primeiro. A empresa continua monitorando a infraestrutura em busca de qualquer atividade secundária e publicará um relatório mais completo sobre o incidente assim que a investigação for concluída. Os clientes serão notificados por meio dos canais estabelecidos de resposta a incidentes caso seja descoberto algum impacto em seus dados.
Desenvolvedores que usam o GitHub foram aconselhados a revisar e rotacionar quaisquer chaves API armazenadas em repositórios como medida preventiva, mesmo onde não se acredita que os repositórios de clientes tenham sido diretamente afetados.