GitHub ha confirmado que aproximadamente 3.800 repositorios internos fueron
vulnerados después de que uno de sus empleados instalara una extensión
maliciosa de VS Code. Desde entonces, la compañía eliminó la extensión
troyanizada sin nombre del mercado de VS Code y aseguró el dispositivo
comprometido.
«Ayer detectamos y contuvimos un dispositivo comprometido de un empleado
que involucraba una extensión VS Code envenenada. Eliminamos la versión de
la extensión maliciosa, aislamos el punto final y comenzamos a responder al
incidente de inmediato»,
dijo la compañía.
«Nuestra evaluación actual es que la actividad implicó la exfiltración de
repositorios internos de GitHub únicamente. Las afirmaciones actuales del
atacante de ~3.800 repositorios son direccionalmente consistentes con
nuestra investigación hasta el momento».
Esto se produce después de que GitHub dijera el martes por la noche que
estaba investigando reclamos de acceso no autorizado a sus repositorios
internos
y agregó que no tiene evidencia de que los datos de los clientes almacenados
fuera de los repositorios afectados se hayan visto afectados.
Si bien GitHub aún no ha atribuido la infracción, el grupo de hackers TeamPCP
reclamó acceso al código fuente de GitHub y
«~4.000 repositorios de código privado» en el foro de cibercrimen
Breached el martes, pidiendo al menos 50.000 dólares por los datos robados.
TeamPCP estuvo vinculado anteriormente a ataques masivos a la cadena de suministro dirigidos a plataformas de código de desarrollador, incluidas GitHub, PyPI, NPM, and Docker, y, más recientemente, a la campaña de la cadena de suministro «Mini Shai-Hulud» (que también afectó a dos empleados de OpenAI).
Las extensiones de VS Code son complementos que se pueden instalar desde VS
Code Marketplace (la tienda oficial de complementos para el editor de código
de Microsoft) para agregar funciones o integrar herramientas en el editor.
Esta no es la primera vez que se detecta en el mercado una extensión VS Code
troyanizada, ya que en los últimos años se han utilizado muchas otras
extensiones maliciosas con millones de instalaciones para robar credenciales
de desarrollador y otros datos confidenciales.
Por ejemplo, el año pasado, las extensiones VSCode con 9 millones de
instalaciones
fueron retiradas por riesgos de seguridad, y 10 más, haciéndose pasar por herramientas de desarrollo legítimas,
infectaron a los usuarios con el criptominero XMRig.
Más adelante en el año, una extensión maliciosa con
capacidades básicas de ransomware
se coló en el mercado de VS Code después de que un actor de amenazas llamado
WhiteCobra lo inundara con 24 extensiones de robo de criptomonedas.
Más recientemente, en enero, dos extensiones maliciosas anunciadas como
asistentes de codificación basadas en inteligencia artificial con 1,5 millones
de instalaciones
extrajeron datos de sistemas de desarrolladores comprometidos
a servidores en China.
La plataforma basada en la nube de GitHub ahora es utilizada por más de 4
millones de organizaciones (incluido el 90% de las Fortune 100) y más de 180
millones de desarrolladores que contribuyen a más de 420 millones de
repositorios de código.
Actualización:
GitHub ahora ha vinculado esta infracción
con el ataque a la cadena de suministro de npm de
TanStack
y dice que el empleado instaló una versión maliciosa de la extensión de la
consola Nx.
Fuente:
BC