GitHub confirma la violación de 3.800 repositorios mediante una extensión maliciosa VSCode

GitHub ha confirmado que aproximadamente 3.800 repositorios internos fueron vulnerados después de que uno de sus empleados instalara una extensión maliciosa de VS Code. Desde entonces, la compañía eliminó la extensión troyanizada sin nombre del mercado de VS Code y aseguró el dispositivo comprometido.

"Ayer detectamos y contuvimos un dispositivo comprometido de un empleado que involucraba una extensión VS Code envenenada. Eliminamos la versión de la extensión maliciosa, aislamos el punto final y comenzamos a responder al incidente de inmediato", dijo la compañía. "Nuestra evaluación actual es que la actividad implicó la exfiltración de repositorios internos de GitHub únicamente. Las afirmaciones actuales del atacante de ~3.800 repositorios son direccionalmente consistentes con nuestra investigación hasta el momento".

Esto se produce después de que GitHub dijera el martes por la noche que estaba investigando reclamos de acceso no autorizado a sus repositorios internos y agregó que no tiene evidencia de que los datos de los clientes almacenados fuera de los repositorios afectados se hayan visto afectados.

Si bien GitHub aún no ha atribuido la infracción, el grupo de hackers TeamPCP reclamó acceso al código fuente de GitHub y "~4.000 repositorios de código privado" en el foro de cibercrimen Breached el martes, pidiendo al menos 50.000 dólares por los datos robados.

​TeamPCP estuvo vinculado anteriormente a ataques masivos a la cadena de suministro dirigidos a plataformas de código de desarrollador, incluidas GitHub, PyPI, NPM, and Docker, y, más recientemente, a la campaña de la cadena de suministro "Mini Shai-Hulud" (que también afectó a dos empleados de OpenAI).

Las extensiones de VS Code son complementos que se pueden instalar desde VS Code Marketplace (la tienda oficial de complementos para el editor de código de Microsoft) para agregar funciones o integrar herramientas en el editor.

Esta no es la primera vez que se detecta en el mercado una extensión VS Code troyanizada, ya que en los últimos años se han utilizado muchas otras extensiones maliciosas con millones de instalaciones para robar credenciales de desarrollador y otros datos confidenciales.

Por ejemplo, el año pasado, las extensiones VSCode con 9 millones de instalaciones fueron retiradas por riesgos de seguridad, y 10 más, haciéndose pasar por herramientas de desarrollo legítimas, infectaron a los usuarios con el criptominero XMRig.

Más adelante en el año, una extensión maliciosa con capacidades básicas de ransomware se coló en el mercado de VS Code después de que un actor de amenazas llamado WhiteCobra lo inundara con 24 extensiones de robo de criptomonedas.

Más recientemente, en enero, dos extensiones maliciosas anunciadas como asistentes de codificación basadas en inteligencia artificial con 1,5 millones de instalaciones extrajeron datos de sistemas de desarrolladores comprometidos a servidores en China.

La plataforma basada en la nube de GitHub ahora es utilizada por más de 4 millones de organizaciones (incluido el 90% de las Fortune 100) y más de 180 millones de desarrolladores que contribuyen a más de 420 millones de repositorios de código.

Actualización: GitHub ahora ha vinculado esta infracción con el ataque a la cadena de suministro de npm de TanStack y dice que el empleado instaló una versión maliciosa de la extensión de la consola Nx.

Fuente: BC

Suscríbete a nuestro Boletín