GitHub heeft bevestigd dat ongeveer 3.800 interne repositories zijn benaderd bij een beveiligingslek die gekoppeld is aan een kwaadaardige Visual Studio Code-extensie die op het apparaat van een medewerker is geïnstalleerd.
Het door Microsoft beheerde ontwikkelplatform zei het incident te hebben gedetecteerd en te hebben beheerst nadat het een gecompromitteerd eindpunt had geïdentificeerd dat gekoppeld was aan een vergiftigde VS Code-extensie. GitHub verwijderde de kwaadaardige extensie van de marktplaats, isoleerde het getroffen apparaat en startte een intern incidentresponsonderzoek.
Volgens de huidige beoordeling van het bedrijf betrof de aanval alleen ongeautoriseerde toegang tot de interne repositories van GitHub. GitHub verklaarde dat er geen bewijs is dat klantrepositories, bedrijfsomgevingen of publieke projecten door de inbraak zijn getroffen.
Het incident werd openbaar nadat dreigingsactoren online beweerden dat ze GitHub-broncode en gevoelige interne gegevens hadden gestolen. De aanvallers beweerden naar verluidt toegang te hebben gekregen tot bijna 4.000 archievens en probeerden de gestolen informatie op ondergrondse forums te verkopen. GitHub zei dat de beweringen van de aanvallers over het volume van de repository “richtinggevend consistent waren” met het onderzoek van het bedrijf tot nu toe.
De inbreuk heeft opnieuw zorgen doen rijzen over software-supply chain-aanvallen gericht op ontwikkelaarstools en -extensies. Visual Studio Code-extensies zijn steeds vaker een doelwit geworden voor cybercriminele groepen omdat ze directe toegang kunnen bieden tot ontwikkelomgevingen, authenticatietokens, interne repositories en CI/CD-infrastructuur.
Beveiligingsonderzoekers waarschuwen al jaren dat kwaadaardige of geïntroiteerde extensies het vertrouwen van ontwikkelaars kunnen misbruiken om willekeurige code uit te voeren binnen ontwikkelomgevingen. In de afgelopen maanden zijn meerdere campagnes waarbij valse of gecompromitteerde VS Code-extensies betrokken zijn, in verband gebracht met diefstal van inloggegevens, verspreiding van malware en het compromitteren van repositorys.
GitHub heeft de naam van de kwaadaardige extensie die bij het incident betrokken was niet openbaar gemaakt. Het bedrijf heeft ook niet bevestigd of er tijdens het lek enige propriëtaire broncode, inloggegevens of beveiligingsgevoelige middelen zijn blootgesteld.