В начале мая разработчики GitHub объяснили, с чем связаны два последних инцидента с доступностью GitHub — с процессами по увеличению мощности платформы для повышения её отказоустойчивости.
Согласно долгосрочной статистике статуса доступности сервисов GitHub, после покупки платформы Microsoft аптайм проекта начал незначительно, но стабильно снижаться.
Ранее в администрации платформы для хостинга IT-проектов и совместной разработки GitHub подтвердили ситуацию с несанкционированным доступом к своим внутренним репозиториям. Этот инцидент произошёл из-за заражённого устройства сотрудника через зловредное расширение VS Code.
1. Мы делимся дополнительными подробностями относительно нашего расследования несанкционированного доступа к внутренним репозиториям GitHub. Вчера мы обнаружили и локализовали компрометацию устройства сотрудника, связанную с заражённым расширением VS Code. Мы удалили вредоносную версию расширения, изолировали эндпойнт и немедленно приступили к реагированию на инцидент.
2. Наша текущая оценка заключается в том, что эта активность включала только извлечение внутренних репозиториев GitHub. Текущие утверждения злоумышленника о ~3 800 репозиториях в целом соответствуют направлению нашего расследования на данный момент.
3. Мы быстро приступили к снижению риска. Критические секреты были обновлены вчера и за ночь, с приоритетом на учётные данные с наибольшим воздействием в первую очередь.
4. Мы продолжаем анализировать логи, проверять ротацию секретов и отслеживать любую последующую активность. Мы предпримем дополнительные действия по мере необходимости расследования.
5. Мы опубликуем полный отчёт, как только расследование будет завершено.
«Мы расследуем несанкционированный доступ к внутренним репозиториям GitHub. Хотя на данный момент у нас нет доказательств влияния на информацию клиентов, хранящуюся вне внутренних репозиториев GitHub (например, предприятия, организации и репозитории наших клиентов), мы внимательно отслеживаем нашу инфраструктуру на предмет последующей активности. Если будет обнаружено какое-либо воздействие, мы уведомим клиентов через установленные каналы реагирования на инциденты и уведомлений», — пояснили в GitHub.
Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить недавний инцидент с дополнением Nx Console, насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console и опубликовать новый релиз 18.95.0, содержащий вредоносный код для кражи конфиденциальных данных, таких как пароли и токены доступа к GitHub, npm, AWS, HashiCorp Vault, Kubernetes и 1Password. Вредоносный выпуск был размещён в каталоге Visual Studio Marketplace 19 мая в 15:30 и удалён в 15:48 (MSK).
Ранее хакерская группа TeamPCP заявила о получении доступа примерно к 4000 репозиториям GitHub, содержащим закрытый код.
TeamPCP выставила украденный код на продажу за $50 тыс. Если покупатель не найдётся, то хакеры опубликуют все данные бесплатно.
