GitHub, bir çalışanın cihazına yüklenen kötü amaçlı Visual Studio Code uzantısı ile bağlantılı bir güvenlik ihlalinde yaklaşık 3.800 dahili depoya erişildiğini doğruladı.
Microsoft’a ait geliştirme platformu, zehirli VS Code uzantısına bağlı bir ele salınmış uç noktayı tespit ettikten sonra olayı tespit ettiğini ve kontrol altına aldığını söyledi. GitHub, zararlı uzantını marketplace’ten kaldırdı, etkilenen cihazı izole etti ve dahili bir olay müdahale soruşturması başlattı.
Şirketin mevcut değerlendirmesine göre, saldırı yalnızca GitHub’un dahili depolarına yetkisiz erişimi içeriyordu. GitHub, müşteri depolarının, kurumsal ortamların veya kamuya açık projelerin ihlali etkilediğine dair hiçbir kanıt olmadığını belirtti.
Olay, tehdit aktörlerinin çevrimiçi olarak GitHub kaynak kodunu ve hassas dahili verileri çaldıklarını iddia ettikten sonra kamuoyuna açıklandı. Saldırganların, yaklaşık 4.000 depoya erişim sağladıklarını ve çalınan bilgileri yeraltı forumlarında satmaya çalıştıklarını iddia ettikleri iddia edildi. GitHub, saldırganların depo hacmiyle ilgili iddialarının şu ana kadar şirketin soruşturmasıyla “yön açısından tutarlı” olduğunu söyledi.
İhlali, yazılım tedarik zinciri saldırılarının geliştirici araçlarını ve uzantılarını hedef almasıyla ilgili yeniden endişeleri artırdı. Visual Studio Code uzantıları, geliştirme ortamlarına, kimlik doğrulama tokenlarına, dahili depolara ve CI/CD altyapısına doğrudan erişim sağlayabildikleri için giderek daha fazla siber suç gruplarının hedefi haline gelmiştir.
Güvenlik araştırmacıları yıllardır kötü niyetli veya trojanize edilmiş uzantıların geliştirici güvenini kötüye kullanarak geliştirme ortamlarında keyfi kod çalıştırabileceği konusunda uyarıyor. Son aylarda, sahte veya tehlikeye girmiş VS Code uzantılarını içeren birçok kampanya kimlik bilgilerinin hırsızlığı, kötü amaçlı yazılım teslimatı ve depo tehlikalı işlemleriyle bağlantılandırıldı.
GitHub, olayda yer alan kötü niyetli uzantının adını kamuoyuna açıklamadı. Şirket ayrıca, ihlal sırasında herhangi bir özel kaynak kodu, kimlik bilgileri veya güvenlik açısından hassas varlıkların açığa çıkıp çıkarılmadığını doğrulamadı.