GitHub 於週二確認,攻擊者透過被污染的 Visual Studio Code 擴充功能入侵員工裝置,取得其內部儲存庫的未授權存取權。這家由微軟擁有的平台已偵測並控制了此次入侵,移除了惡意擴充功能,隔離了受影響的終端設備,並立即展開事件回應。
该公司表示,目前評估顯示,此次入侵僅涉及 GitHub 內部倉儲的資料外洩。客戶倉儲、企業組織以及存儲於 GitHub 內部系統之外的使用者資料,據信未受影響。
漏洞的規模
GitHub 確認,攻擊者聲稱約有 3,800 個內部儲存庫,與其自身調查的方向一致。威脅組織 TeamPCP 已聲稱對此次入侵負責,並據報正在地下網路犯罪論壇上試圖以超過 $50,000 的價格出售被盜資料集。該組織聲稱,這些資料包括來自約 4,000 個私人儲存庫的專有平台原始碼和內部組織檔案。
GitHub 表示,在檢測到入侵後,已迅速輪換關鍵憑證,並優先處理影響最大的密鑰。該公司正在繼續分析日誌、驗證密鑰輪換,並監控後續活動。
為何內部儲存庫存取如此嚴重
公司表示,沒有證據顯示儲存在內部倉庫之外的客戶資訊受到影響。安全研究人員指出,具體的措辭至關重要。「沒有證據顯示受影響」並不等同於確認客戶資料是安全的,這意味著調查仍在進行中,全面影響範圍尚未確定。
內部倉庫通常包含基礎設施配置、部署腳本、內部 API 文件、預發環境憑證、功能旗標、監控鉤子以及未記錄的服務。存取內部原始碼等同於獲得整個系統架構的藍圖,即使沒有直接存取客戶資料。
安全專業人員也指出,GitHub 明確提及監控後續活動具有重要意義。現代攻擊很少僅止於初始訪問。標準的進展過程通常從初始立足點開始,經過偵察、權限提升、持久化,然後在防禦者認為威脅已被控制後,展開第二波針對性活動。
GitHub 正在進行什麼
GitHub 表示,在檢測到入侵當天,關鍵密鑰已進行輪換,優先處理最敏感的憑證。公司持續監控基礎設施,以排查任何二次活動,並在調查完成後發布更完整的事件報告。若發現對客戶資料有任何影響,將透過既定的事件回應渠道通知客戶。
使用 GitHub 的開發者已被建議審查並輪換存儲在倉庫中的任何 API 密鑰,作為預防措施,即使認為客戶倉庫未直接受影響。