GitHubは、従業員の1人が悪意あるVS Code拡張機能をインストールした後、約3,800個の内部リポジトリが侵害されたことを確認しました。
同社はその後、名前のないトロイの木馬化された拡張機能をVS Codeマーケットプレイスから削除し、侵害されたデバイスを保護しました。
「昨日、毒入りVS Code拡張機能を含む従業員デバイスの侵害を検出し、封じ込めました。悪意あるプラグインのバージョンを削除し、エンドポイントを隔離し、すぐにインシデント対応を開始しました。」ビデオプレーヤーは現在広告を再生しています。5秒でマウスまたはキーボードで広告をスキップできます
「現在の評価では、活動はGitHub内部リポジトリのみの情報流出を伴っていたというものです。攻撃者の現在の約3,800リポジトリという主張は、これまでの調査と方向的に一致しています。」
これは、GitHubが火曜夜にBleepingComputerに対し、内部リポジトリへの不正アクセスの主張を調査していることを述べ、影響を受けたリポジトリ以外に保存されている顧客データが影響を受けたという証拠がないことを付け加えた後のことです。
GitHubがまだ侵害を帰属させていない一方で、TeamPCPハッカーグループは火曜日にBreachedサイバー犯罪フォーラムでGitHubのソースコードと「約4,000個のプライベートコードリポジトリ」へのアクセスを主張し、盗まれたデータに対して最低50,000ドルを要求しました。
「いつものようにこれは身代金ではなく、Githubを脅迫することは気にしていません。1人の買い手がいれば、私たちは自分たちの側でデータを破棄します。退職が間近のようなので、買い手が見つからなければ無料でリークします」とサイバー犯罪者は述べました。「興味がある場合は、以下のコミュニケーションで提案を送ってください。50k未満には興味がなく、最良の提案がそれを得ます。」
TeamPCPは以前、GitHub、PyPI、NPM、Dockerなどの開発者コードプラットフォームをターゲットとした大規模なサプライチェーン攻撃にリンクされており、より最近では「Mini Shai-Hulud」サプライチェーンキャンペーン(2人のOpenAI従業員にも影響)にリンクされています。
VS Code拡張機能は、VS Codeマーケットプレイス(Microsoftのコードエディタ用アドオンの公式ストア)からインストールできるプラグインであり、エディタに機能を追加したりツールを統合したりするために使用されます。
これはトロイの木馬化されたVS Code拡張機能がマーケットプレイスで発見されたのは初めてではなく、数百万のインストール数を持つ他の複数の悪意あるプラグインが、過去数年間に開発者の認証情報やその他の機密データを盗むために使用されてきました。
例えば、昨年、900万のインストール数を持つVSCode拡張機能がセキュリティリスクのため削除され、合法的な開発ツールを装った10個以上がユーザーをXMRig暗号マイナーに感染させました。
その後の年に、基本的なランサムウェア機能を持つ悪意あるプラグインがWhiteCobraという脅威アクターが24個の暗号盗用拡張機能でマーケットプレイスを溢れさせた後、VS Codeマーケットプレイスに忍び込みました。
より最近では、1月に、AI ベースのコーディングアシスタントとして宣伝された150万のインストール数を持つ2つの悪意あるプラグインが侵害された開発者システムからのデータを中国のサーバーに流出させました。
GitHubのクラウドベースプラットフォームは現在、400万以上の組織(Fortune 100の90%を含む)と420万以上のコードリポジトリに貢献する1億8000万以上の開発者によって使用されています。
検証ギャップ:自動ペンテストは1つの質問に答えます。あなたは6つが必要です。
自動ペンテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました:攻撃者がネットワークを通じて移動できるか? あなたのコントロールが脅威をブロックするか、あなたの検出ルールが発動するか、またはあなたのクラウド構成が保持されているかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
