GitHub hat den unbefugten Zugriff auf etwa 3.800 seiner internen Entwicklungs-Repositories und deren Exfiltration bestätigt. Der Einbruch wurde von der finanziell motivierten Cybercrime-GruppeTeamPCPinszeniert, die eine trojanisierte Microsoft Visual Studio Code (VS Code)-Erweiterung ausnutzte, die auf dem Gerät eines privilegierten Mitarbeiters installiert war.
Der gestohlene Quellcode wurde Berichten zufolge in einem Cybercrime-Forum zum Verkauf angeboten. GitHub hat erklärt, dass es derzeit keine Beweise dafür gibt, dass Kundendaten oder Daten, die außerhalb dieser internen Repositories gespeichert sind, kompromittiert wurden. Der Vorfall verdeutlicht das zunehmende Risiko für Entwicklerumgebungen und unterstreicht die Raffinesse der breit angelegten "Mini Shai-Hulud"-Lieferkettenkampagne von TeamPCP.
Zusammenfassung des Vorfalls und dessen Ursache
Die Sicherheitsverletzung entstand, als ein GitHub-Mitarbeiter eine bösartige, trojanisierte Erweiterung in seiner Microsoft Visual Studio Code-Umgebung installierte. Nach der Installation führte die Erweiterung Malware aus, die es TeamPCP ermöglichte, das Gerät zu kompromittieren und sensible interne Daten zu exfiltrieren.
- Auslösender Vektor:Installation einer verseuchten VS-Code-Erweiterung vom offiziellen Marktplatz (die anschließend entfernt wurde).
- Akteur der Bedrohung:Die Gruppe TeamPCP hat die Verantwortung für die Sicherheitsverletzung übernommen und verkauft die Daten in einem Dark-Web-Forum mit einem Mindestpreis von 50.000 US-Dollar.
- Abhilfemaßnahmen:GitHub sicherte sofort das betroffene Mitarbeitergerät, entfernte die bösartige Erweiterung vom VS Code Marketplace und begann mit der Untersuchung des Umfangs des unbefugten Zugriffs.
Bewertung der Auswirkungen
GitHub hat die Auswirkungen bewertet und Folgendes bestätigt:
- Interne Repositories:Ungefähr 3.800 interne GitHub-Repositories wurden exfiltriert. Diese enthalten interne Entwicklungsressourcen, privaten Quellcode und proprietäre Tools.
- Kundendaten:Es gibt keine Hinweisedarauf, dass Kundendaten, Produktionssysteme oder Daten, die außerhalb der betroffenen internen Repositories gespeichert sind, kompromittiert wurden.
- Eingrenzung:Die Sicherheitsverletzung scheint sich ausschließlich auf die internen Entwicklungsressourcen von GitHub zu beschränken und hat keine Auswirkungen auf die Integrität der Plattform im weiteren Sinne oder auf Kundendaten Dritter.
Die breitere "Mini Shai-Hulud"-Kampagne
Dieser Vorfall verdeutlicht das breitere und gut dokumentierte Risiko, das von Angriffen auf die Software-Lieferkette ausgeht, die auf Entwicklerumgebungen, Paket-Ökosysteme und CI/CD-Pipelines abzielen. Bedrohungsakteure konzentrieren sich zunehmend auf diese Vektoren, da sie indirekten Zugang zu Quellcode, Anmeldeinformationen und Produktionsumgebungen bieten.
Zu den häufig beobachteten Techniken bei Angriffen auf die Lieferkette gehören:
- Kompromittierung von Entwickler-Tooling: Bösartige oder trojanisierte Erweiterungen, Plugins oder Abhängigkeiten können verwendet werden, um einen ersten Zugang zu Entwickler-Workstations und zugehörigen Ressourcen zu erhalten.
- Missbrauch des Paket-Ökosystems: Angreifer können Pakete in öffentlichen Verzeichnissen (z. B. npm, PyPI) veröffentlichen oder verändern, um bösartigen Code einzuschleusen, wobei sie häufig kompromittierte Betreuer-Konten oder Typosquatting-Techniken nutzen.
- Missbrauch von CI/CD-Pipelines: Systeme für die kontinuierliche Integration und Bereitstellung werden angegriffen, um auf Build-Artefakte zuzugreifen, bösartigen Code einzuschleusen oder vertrauliche Anmeldeinformationen wie API-Tokens und Geheimnisse zu extrahieren.
- Zugriff auf Anmeldeinformationen und Exfiltration: Malware, die über Vektoren der Lieferkette bereitgestellt wird, zielt häufig auf sensible Daten ab, einschließlich Zugriffstoken, SSH-Schlüssel und Cloud-Anmeldeinformationen, die dann für laterale Bewegungen oder Persistenz verwendet werden können.
Empfehlungen
Angesichts dieses Einbruchs und der laufenden "Mini Shai-Hulud"-Kampagne müssen Unternehmen ihre Entwicklerumgebungen und die Verteidigungsmaßnahmen in der Lieferkette sofort verstärken. Die folgenden Maßnahmen werden empfohlen:
- Überprüfen Sie Erweiterungen von Drittanbietern:Prüfen und verwalten Sie alle Erweiterungen von Drittanbietern, die in Entwicklungsumgebungen installiert sind, insbesondere bei Konten mit hohen Rechten. Entfernen Sie alle nicht benötigten oder nicht anerkannten VS Code-Erweiterungen sofort.
- Implementieren Sie Richtlinien zur Anwendungskontrolle:Setzen Sie Richtlinien zur Anwendungskontrolle ein, um die Auflistung zugelassener VS Code-Erweiterungen zu erzwingen. Blockieren Sie die Installation von Erweiterungen von unbekannten oder ungeprüften Anbietern.
- Überwachen Sie Entwicklerarbeitsplätze:Verbessern Sie die EDR-Überwachung (Endpoint Detection and Response) für Entwickler-Workstations. Achten Sie auf nicht autorisierte Zugriffsversuche, ungewöhnlichen Netzwerkverkehr oder Verbindungen zu bekannten TeamPCP Command & Control (C2)-Servern, die von IDE-Prozessen ausgehen.
- Überprüfung des internen Repository-Zugriffs:Überprüfen Sie die Zugriffskontrollen für interne Repositories und setzen Sie dabei das Prinzip der geringsten Privilegien durch. Stellen Sie sicher, dass hochwertige interne Assets strikt von den Standard-Workflows der Entwickler getrennt sind.
- Verstehen Sie die TTPs von TeamPCP:Seien Sie wachsam gegenüber den TTPs (Tactics, Techniques, and Procedures) von TeamPCP, insbesondere in Bezug auf die Kompromittierung der Lieferkette und die Exfiltration von Anmeldeinformationen.
Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder nehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.