O GitHub confirmou que aproximadamente 3.800 repositórios internos foram acessados em uma violação de segurança vinculada a uma extensão maliciosa do Visual Studio Code instalada no dispositivo de um funcionário.
A plataforma de desenvolvimento, de propriedade da Microsoft, afirmou ter detectado e contido o incidente após identificar um endpoint comprometido ligado a uma extensão VS Code envenenada. O GitHub removeu a extensão maliciosa do marketplace, isolou o dispositivo afetado e iniciou uma investigação interna de resposta a incidentes.
De acordo com a avaliação atual da empresa, o ataque envolveu apenas acesso não autorizado aos repositórios internos do GitHub. O GitHub afirmou que não há evidências de que repositórios de clientes, ambientes empresariais ou projetos públicos tenham sido impactados pela violação.
O incidente tornou-se público depois que agentes ameaçadores alegaram online que haviam roubado o código-fonte do GitHub e dados internos sensíveis. Os atacantes alegaram ter obtido acesso a quase 4.000 repositórios e tentado vender as informações roubadas em fóruns clandestinos. O GitHub afirmou que as alegações dos atacantes sobre o volume do repositório eram “direcionalmente consistentes” com a investigação da empresa até agora.
A violação levantou preocupações renovadas sobre ataques na cadeia de suprimentos de software direcionados a ferramentas e extensões para desenvolvedores. Extensões do Visual Studio Code têm se tornado cada vez mais alvo para grupos cibercriminosos porque podem fornecer acesso direto a ambientes de desenvolvimento, tokens de autenticação, repositórios internos e infraestrutura CI/CD.
Pesquisadores de segurança alertam há anos que extensões maliciosas ou trojanizadas podem abusar da confiança dos desenvolvedores para executar código arbitrário em ambientes de desenvolvimento. Nos últimos meses, múltiplas campanhas envolvendo extensões VS Code falsas ou comprometidas foram associadas a roubo de credenciais, entrega de malware e operações de comprometimento de repositórios.
O GitHub não divulgou publicamente o nome da extensão maliciosa envolvida no incidente. A empresa também não confirmou se algum código-fonte proprietário, credenciais ou ativos sensíveis à segurança foram expostos durante a violação.