coinedition.com
Основатель Binance Чанпэн Чжао предупредил разработчиков, когда новость об утечке GitHub распространилась по социальным сетям.
«Если в вашем коде есть API-ключи, даже приватные репозитории, сейчас самое время перепроверить и изменить их», — написал CZ на X.
Предупреждение появилось на фоне подтверждения расследования несанкционированного доступа к своим внутренним репозиториям после заявлений группы угроз TeamPCP о краже данных примерно из 4000 частных и внутренних репозиториев, включая исходный код и файлы компании.
Группа пытается продать украденные данные более чем за 50 000 долларов на подпольных форумах, добавляя, что если покупателя не найдут, данные будут опубликованы бесплатно.
Что подтвердил GitHub
GitHub сообщил, что взлома произошла из-за скомпрометированного устройства сотрудника через отравленное расширение Microsoft Visual Studio Code. Компания обнаружила и локализовала компрометацию, удалила вредоносное расширение, изолировала конечную точку и сразу же начала ротировать критические учетные данные с приоритетом самых значимых секретов.
В своём публичном заявлении GitHub подтвердил, что заявления TeamPCP примерно о 3 800 репозиториях по направлению соответствуют его собственному расследованию. Компания заявила, что по текущей оценке взлома произошла только в эксфильтрации внутренних репозиториев GitHub, без доказательств влияния на репозитории клиентов, корпоративные организации или пользовательские данные, хранящиеся вне внутренних систем.
GitHub сообщил, что будет уведомлять клиентов через установленные каналы реагирования на инциденты при обнаружении какого-либо влияния на них и опубликует более полный отчет после завершения расследования.
TeamPCP всё ещё активна
Утечка GitHub — не единичный случай. Та же группа угроз проводит отдельную кампанию вредоносного ПО под названием Mini Shai-Hulud — самовоспроизводящийся червь, который теперь скомпрометировал Durabletask, официальный клиент Microsoft Python для фреймворка выполнения рабочих процессов Durable Task. Выявлены три версии вредоносных пакетов: 1.4.1, 1.4.2 и 1.4.3.
По данным компании Wiz, принадлежащей Google, злоумышленник скомпрометировал аккаунт GitHub в ходе предыдущей атаки, извлекал секреты GitHub из репозитория, к которому имела доступ аккаунт, и использовал эти секреты для получения токена PyPI, позволяющего напрямую публиковать версии вредоносных пакетов.
Вредоносное ПО, встроенное в скомпрометированные пакеты, работает как дроппер, получая и выполняя полезную нагрузку второго этапа с внешнего сервера. Кампания работает только на Linux и распространяется через среды AWS SSM и Kubernetes.
Собственное заявление TeamPCP о продаже данных на GitHub дало необычайно откровенное описание их намерений. Группа заявила, что не пыталась вымогать GitHub и заявила, что данные будут удалены после успешной продажи. Также предупреждается, что информация может быть опубликована, если покупатель не появится.
Связано: Взлом протокола Echo потратил 816 тысяч долларов после подделки монетного двора eBTC