GitHub подтвердил во вторник, что злоумышленники получили несанкционированный доступ к своим внутренним репозиториям после компрометации устройства сотрудника с помощью отравленного расширения Visual Studio Code. Платформа, принадлежащая Microsoft, обнаружила и локализовала инцидент, удалила вредоносное расширение, изолировала затронутую точку доступа и немедленно начала реагирование на инцидент.
Компания заявила, что на данный момент считает, что утечка затронула только внутренние репозитории GitHub. Репозитории клиентов, корпоративные организации и данные пользователей, хранящиеся вне внутренних систем GitHub, не были затронуты.
Масштаб нарушения
GitHub подтвердил, что утверждения злоумышленника о примерно 3 800 внутренних репозиториях согласуются с направлением собственного расследования. Группа угроз TeamPCP взяла на себя ответственность за взлом и, как сообщается, пытается продать похищенный набор данных на теневых киберпреступных форумах за более чем $50 000. Группа утверждает, что данные включают проприетарный исходный код платформы и внутренние организационные файлы из примерно 4 000 закрытых репозиториев.
GitHub заявил, что быстро заменил критические учетные данные после обнаружения нарушения, в первую очередь обновив секреты с наибольшим влиянием. Компания продолжает анализировать журналы, проверять замену секретов и отслеживать последующую активность.
Почему доступ к внутреннему репозиторию — это серьезно
Компания заявила, что не имеет доказательств воздействия на информацию клиентов, хранящуюся вне внутренних репозиториев. Исследователи безопасности отметили, что конкретная формулировка имеет значение. Отсутствие доказательств воздействия не является подтверждением того, что данные клиентов в безопасности. Это означает, что расследование продолжается, и полный масштаб последствий еще не определен.
Внутренние репозитории обычно содержат конфигурации инфраструктуры, скрипты развертывания, внутреннюю документацию API, тестовые учетные данные, флаги функций, точки мониторинга и недокументированные сервисы. Доступ к исходному коду внутренней системы фактически предоставляет схему всей архитектуры системы, даже без прямого доступа к данным клиентов.
Специалисты по безопасности также отметили, что явное упоминание GitHub о мониторинге последующей активности имеет большое значение. Современные атаки редко останавливаются на начальном этапе доступа. Стандартная последовательность включает переход от первоначального проникновения к разведке, повышению привилегий, обеспечению устойчивости, а затем ко второй волне целенаправленной активности после того, как защитники считают, что угроза была ликвидирована.
Что делает GitHub
GitHub сообщил, что критические секреты были изменены в тот же день, когда была обнаружена утечка, при этом первыми были обработаны самые чувствительные учетные данные. Компания продолжает мониторинг инфраструктуры на предмет любой дополнительной активности и опубликует более подробный отчет о инциденте после завершения расследования. Пользователи будут уведомлены через установленные каналы реагирования на инциденты, если будет обнаружено какое-либо влияние на их данные.
Разработчикам, использующим GitHub, рекомендуется проверить и сменить любые ключи API, сохраненные в репозиториях, в качестве меры предосторожности, даже если считается, что клиентские репозитории не были напрямую затронуты.