ME Haberleri'ne göre, 20 Mayıs (UTC+8) tarihinde, Beating tarafından izlenen verilere göre, GitHub resmi bir güvenlik araştırması duyurusu yayınladı ve bir çalışanın cihazının zehirli bir VS Code eklentisiyle bulaşması nedeniyle dahili kod deposuna yetkisiz erişim gerçekleştiğini doğruladı. Saldırganlar, GitHub'ın yaklaşık 3.800 dahili deposunu çalmayı başarıldığını iddia etti; resmi kurum, bu iddianın şu anki araştırmalarla uyumlu olduğunu kabul etti. Sorumlu kötü amaçlı eklenti, 18 Mayıs'ta Microsoft Visual Studio Code Pazarlığı'nda geçici olarak yayınlanan popüler Nx Console (v18.95.0) uzantısıydı. Saldırganlar, katkıda bulunanların token'larını çalarak yayınlama izni elde etti ve kimlik bilgisi çalıcı içeren kötü amaçlı bir sürümü mağazaya yükledi. Nx ekibi, anormallikleri 11 dakika içinde tespit edip bu sürümü kaldırdı, ancak bu süre içinde bazı GitHub çalışanları bu eklentiyi indirdi ve etkilendi. Bu kötü amaçlı yük, arka planda ana bilgisayarın Git kimlik bilgilerini, VS Code eklenti depolarını, AWS anahtarlarını ve 1Password hassas verilerini otomatik olarak okur. Bu kimlik bilgileri, dış saldırganların dış güvenlik engellerini atlayarak GitHub'ın dahili kod depolarını doğrudan çalmalarını sağladı. GitHub, 19 Mayıs'ta bu cihaz ihlalini tespit edip kontrol altına aldığını belirtti. Riski azaltmak amacıyla güvenlik ekibi, dün ve gece tüm kritik anahtarları acil olarak değiştirdi ve yüksek değerli kimlik bilgilerine öncelik verdi. Şu anda ekip günlükleri analiz etmeye ve sonraki faaliyetleri izlemeye devam ediyor; tam rapor araştırmanın tamamlanmasından sonra yayınlanacaktır. (Kaynak: BlockBeats)
GitHub, zehirli bir VS Code eklentisi aracılığıyla 3800 dahili depoyu çalındığını doğruladı
KuCoinFlashPaylaş
Özet
GitHub, bir zehirli VS Code eklentisi aracılığıyla 3800 dahili deposunun çalındığını doğruladı ve zincir üzerindeki veriler, artan güvenlik endişeleri kapsamında dikkat edilmesi gereken altcoin'leri işaret ediyor. Saldırganlar, 18 Mayıs'ta yüklenen bir zararlı Nx Console sürümünü kullandı ve kimlik bilgilerini ile hassas verileri çaldı. Eklenti 11 dakika içinde kaldırıldı, ancak bazı GitHub personeli zaten bunu indirmişti. Güvenlik ekipleri anahtarları değiştirdi ve günlükleri analiz ediyor. Bu ihlal, özellikle piyasada dikkat edilmesi gereken altcoin'lerin popülerlik kazanmasıyla birlikte daha sıkı kontrollerin gerekli olduğunu vurguluyor.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.