GitHub xác nhận vào thứ Ba rằng các kẻ tấn công đã truy cập trái phép vào các kho nội bộ của họ sau khi xâm phạm thiết bị của nhân viên thông qua một phần mở rộng Visual Studio Code bị nhiễm độc. Nền tảng thuộc sở hữu của Microsoft đã phát hiện và kiểm soát sự xâm phạm, gỡ bỏ phần mở rộng độc hại, cô lập điểm cuối bị ảnh hưởng và bắt đầu phản ứng sự cố ngay lập tức.
Công ty cho biết đánh giá hiện tại của họ là vụ xâm nhập chỉ liên quan đến việc đánh cắp các kho nội bộ của GitHub. Các kho khách hàng, tổ chức doanh nghiệp và dữ liệu người dùng được lưu trữ ngoài hệ thống nội bộ của GitHub được cho là không bị ảnh hưởng.
Quy mô của vụ xâm phạm
GitHub xác nhận rằng các tuyên bố của kẻ tấn công về khoảng 3.800 kho lưu trữ nội bộ là phù hợp với hướng điều tra của chính họ. Nhóm mối đe dọa TeamPCP đã nhận trách nhiệm cho vụ xâm nhập và được cho là đang cố gắng bán bộ dữ liệu bị đánh cắp trên các diễn đàn tội phạm mạng ngầm với giá hơn 50.000 USD. Nhóm này tuyên bố dữ liệu bao gồm mã nguồn nền tảng sở hữu và các tệp tổ chức nội bộ từ khoảng 4.000 kho lưu trữ riêng tư.
GitHub cho biết họ đã nhanh chóng xoay vòng các thông tin xác thực quan trọng sau khi phát hiện vụ xâm nhập, ưu tiên xoay vòng các bí mật có tác động lớn nhất trước. Công ty đang tiếp tục phân tích nhật ký, xác minh việc xoay vòng bí mật và theo dõi các hoạt động tiếp theo.
Tại sao việc truy cập kho nội bộ lại nghiêm trọng
Công ty cho biết họ không có bằng chứng nào cho thấy thông tin khách hàng được lưu trữ ngoài các kho nội bộ bị ảnh hưởng. Các chuyên gia bảo mật lưu ý rằng cách diễn đạt cụ thể này rất quan trọng. Việc không có bằng chứng về tác động không phải là xác nhận rằng dữ liệu khách hàng an toàn. Điều đó có nghĩa là cuộc điều tra vẫn đang tiếp diễn và phạm vi ảnh hưởng đầy đủ chưa được xác định.
Các kho nội bộ thường chứa các cấu hình hạ tầng, kịch bản triển khai, tài liệu API nội bộ, thông tin xác thực giai đoạn thử, các cờ tính năng, các điểm kết nối giám sát và các dịch vụ không được tài liệu hóa. Việc truy cập vào mã nguồn nội bộ thực chất cung cấp bản thiết kế của toàn bộ kiến trúc hệ thống, ngay cả khi không có quyền truy cập trực tiếp vào dữ liệu khách hàng.
Các chuyên gia bảo mật cũng cho rằng việc GitHub đề cập rõ ràng về việc giám sát các hoạt động tiếp theo là đáng chú ý. Các cuộc tấn công hiện đại hiếm khi dừng lại ở giai đoạn truy cập ban đầu. Quy trình tiêu chuẩn thường đi từ điểm tiếp cận ban đầu đến điều tra, tăng quyền, duy trì sự hiện diện, sau đó là làn sóng thứ hai của các hoạt động nhắm mục tiêu sau khi các bên phòng thủ tin rằng mối đe dọa đã được khống chế.
Điều GitHub đang thực hiện
GitHub cho biết các bí mật quan trọng đã được xoay vòng cùng ngày phát hiện sự vi phạm, với các thông tin xác thực nhạy cảm nhất được xử lý trước. Công ty tiếp tục giám sát cơ sở hạ tầng để phát hiện bất kỳ hoạt động thứ cấp nào và sẽ công bố báo cáo sự cố đầy đủ hơn sau khi cuộc điều tra hoàn tất. Khách hàng sẽ được thông báo qua các kênh phản ứng sự cố đã thiết lập nếu phát hiện bất kỳ tác động nào đến dữ liệu của họ.
Các nhà phát triển sử dụng GitHub đã được khuyến nghị xem xét và thay đổi bất kỳ khóa API nào được lưu trong các kho lưu trữ như một biện pháp phòng ngừa, ngay cả khi các kho lưu trữ của khách hàng không được cho là đã bị ảnh hưởng trực tiếp.