GitHub ha confermato che circa 3.800 repository interni sono stati acceduti in seguito a una violazione della sicurezza collegata a un’estensione malinciosa di Visual Studio Code installata sul dispositivo di un dipendente.
La piattaforma di sviluppo di proprietà Microsoft ha dichiarato di aver rilevato e contenuto l’incidente dopo aver identificato un endpoint compromesso legato a un’estensione VS Code avvelenata. GitHub ha rimosso l’estensione dannosa dal marketplace, isolato il dispositivo interessato e avviato un’indagine interna di risposta agli incidenti.
Secondo la valutazione attuale dell’azienda, l’attacco ha coinvolto solo un accesso non autorizzato ai repository interni di GitHub. GitHub ha dichiarato che non ci sono prove che repository clienti, ambienti aziendali o progetti pubblici siano stati colpiti dalla violazione.
L’incidente è diventato pubblico dopo che attori minacciosi hanno dichiarato online di aver rubato il codice sorgente di GitHub e dati interni sensibili. Gli aggressori avrebbero affermato di aver ottenuto accesso a quasi 4.000 depositi e di aver tentato di vendere le informazioni rubate su forum clandestini. GitHub ha affermato che le affermazioni degli attaccanti riguardo al volume del repository erano “direzionalmente coerenti” con l’indagine dell’azienda finora.
La violazione ha sollevato nuove preoccupazioni riguardo agli attacchi alla catena di approvvigionamento software rivolti agli strumenti e alle estensioni degli sviluppatori. Le estensioni di Visual Studio Code sono diventate sempre più un bersaglio per i gruppi di criminali informatici perché possono fornire accesso diretto a ambienti di sviluppo, token di autenticazione, repository interni e infrastrutture CI/CD.
I ricercatori di sicurezza avvertono da anni che estensioni malevole o trojanizzate possono abusare della fiducia degli sviluppatori per eseguire codice arbitrario all’interno degli ambienti di sviluppo. Negli ultimi mesi, molteplici campagne che coinvolgono estensioni VS Code false o compromesse sono state collegate a furto di credenziali, consegna di malware e operazioni di compromessa di repository.
GitHub non ha reso pubblico il nome dell’estensione dannosa coinvolta nell’incidente. L’azienda non ha nemmeno confermato se durante la violazione siano stati esposti codice sorgente proprietario, credenziali o asset sensibili alla sicurezza.