„GitHub“ teigia, kad šiuo metu nėra jokių įrodymų, jog klientų saugyklos ar išoriniai įmonės duomenys buvo pažeisti.
Šiandien įsilaužėliai gavo prieigą prie „GitHub“ vidinių saugyklų, pasinaudodami darbuotojo kompiuteriu su užkrėstu VS Code plėtiniu.
Po incidento pasirodė pranešimų, kad grėsmės veikėjas, naudojantis slapyvardį TeamPCP, neva pardavinėja maždaug 4000 „GitHub“ privačių saugyklų viename iš kibernetinių nusikaltimų forumų, o minimali pradinė kaina yra 50 000 USD.
Ką teigia „GitHub“
„GitHub“ patvirtino pažeidimą keliais pranešimais savo „X“ paskyroje, kur išsamiai aprašė tai, ką iki šiol žino. Kaip teigia prieglobos platforma, užpuolikas gavo prieigą prie jos vidinės saugyklos per kenkėjišką VS Code plėtinį, įkeltą į vieną iš jos darbuotojų įrenginių.
„GitHub“ teigia, kad kai tik suprato, jog įvyko ataka, nedelsdamas pašalino kenkėjišką programinę įrangą iš užkrėsto įrenginio. Svarbu pažymėti, jog šiuo metu nėra jokių įrodymų, kad buvo pasiekiami klientų duomenys, laikomi už jos vidinių sistemų ribų, tai yra, atskirų vartotojų įmonės, organizacijos ar saugyklos.
Prieglobos tarnyba taip pat patvirtino, kad greitai pakeitė kredencialus, pirmiausia pakeisdama svarbiausius slaptus duomenis. Ji taip pat analizuos žurnalus, kad išsiaiškintų, ar nebuvo jokios papildomos veiklos, ir pateiks daugiau informacijos šiuo klausimu po tyrimo pabaigos.
Tuo tarpu prancūzų tyrėjas Sébastien Latombe pastebėjo grėsmės veikėjo, prisistatančio „TeamPCP“, įrašą kriminalinių pranešimų lentoje, teigiantį, kad jis yra atsakingas už įsilaužimą, kuriame minimos saugyklos, susijusios su „GitHub Actions“, „GitHub Enterprise“, „GitHub Copilot“, „Azure“, „CodeQL“, atsiskaitymo ir autentifikavimo paslaugomis.
Esą jie nesiekia reketuoti „GitHub“, o nori vienintelio pirkėjo pavogtiems duomenims, o minimali pradinė kaina yra 50 000 USD.
Jums taip pat gali patikti:
Tačiau reikia pažymėti, kad „GitHub“ ar „Microsoft“ oficialiai nepatvirtino turinio forumo įraše, ir į bet kokius tokiuose kibernetinių nusikaltimų tinklalapiuose pateiktus teiginius reikėtų žiūrėti atsargiai, nes bet kokie jų pateikti duomenys tokiais atvejais gali būti pasenę arba perdėti, siekiant padidinti jų suvokiamą vertę.
Saugumo problemos plinta per kriptovaliutas
Reakcija į pažeidimą internete buvo greita, o „Binance“ įkūrėjas Changpeng Zhao (CZ) parašė tiesioginę žinutę kriptovaliutų kūrėjams:
„Jei turite API raktus savo kode, net privačiose saugyklose, dabar pats laikas dar kartą patikrinti ir pakeisti juos.“
Atsakymai atspindėjo įprastą pramonės problemą. „Topaz DEX“ įkūrėjas Aaron Shames pavadino tai „bloga praktika turėti API raktus bet kurioje saugykloje, privačioje ar ne“, nors jis pripažino įspėjimą.
Kiti atkreipė dėmesį, kad kūrėjams, valdantiems šimtus raktų įvairiuose projektuose, tai nėra paprastas sprendimas.
„Visa ši raktų saugojimo praktika reikalauja atnaujinimo“, – rašė skaitmeninis menininkas „Tuteth_“.
Saugumo komentatorius Dhanush Nehru nuėjo dar toliau:
„Niekas nežino, kokius leidimus turi kiekvienas VS Code plėtinys. Kibernetinio saugumo grėsmių kraštovaizdis yra baisus.“
Šio incidento laikas taip pat prisidėjo prie jau egzistuojančių neramumų dėl kriptovaliutų saugumo po daugybės didelio masto įsilaužimų šį mėnesį, įskaitant ataką prieš „Echo Protocol“, kai įsilaužėliams pavyko nukaldinti 76,7 mln. USD vertės eBTC.
Šis konkretus incidentas įvyko praėjus vos kelioms dienoms po dviejų kitų kelių milijonų dolerių atakų prieš „THORChain“ ir „Verus-Ethereum Bridge“.
Šie įvykiai paskatino atnaujintas diskusijas dėl kodo patikrinimo ir programinės įrangos tiekimo grandinės pažeidžiamumo klausimų, kai Vitalikas Buterinas teigia, kad su AI pagalba formalus patikrinimas gali padaryti programinę įrangą saugesnę matematiškai įrodant jos elgesį.
