GitHub ha confirmado el acceso no autorizado y la filtración de aproximadamente 3.800 de sus repositorios de desarrollo internos. La brecha fue orquestada por el grupo de ciberdelincuentesTeamPCP, que explotó una extensión troyanizada de Microsoft Visual Studio Code (VS Code) instalada en el dispositivo de un empleado con privilegios.
Al parecer, el código fuente robado se puso a la venta en un foro de ciberdelincuentes. GitHub ha declarado que actualmente no hay pruebas de que los datos de los clientes o los datos almacenados fuera de estos repositorios internos se hayan visto comprometidos. El incidente pone de relieve el creciente riesgo para los entornos de desarrolladores y subraya la sofisticación de la campaña más amplia de la cadena de suministro "Mini Shai-Hulud" de TeamPCP.
Resumen del incidente y causa
La brecha se originó cuando un empleado de GitHub instaló una extensión maliciosa y troyanizada en su entorno de Microsoft Visual Studio Code. Una vez instalada, la extensión ejecutó malware que permitió a TeamPCP comprometer el dispositivo y exfiltrar activos internos sensibles.
- Vector desencadenante:Instalación de una extensión envenenada de VS Code desde el mercado oficial (que fue retirada posteriormente).
- Actor de la amenaza:El grupo TeamPCP se atribuyó la responsabilidad de la brecha y está vendiendo estos datos en un foro de la dark web con un precio mínimo de 50.000 dólares.
- Solución:GitHub aseguró inmediatamente el dispositivo de los empleados afectados, eliminó la extensión maliciosa del mercado VS Code y comenzó a investigar el alcance del acceso no autorizado.
Evaluación del impacto
GitHub ha evaluado el impacto y ha confirmado lo siguiente:
- Repositorios internos:Aproximadamente 3.800 repositorios internos de GitHub fueron filtrados. Estos contienen activos de desarrollo interno, código fuente privado y herramientas propietarias.
- Datos de clientes:No hay pruebasde que los datos de los clientes, los sistemas de producción o los datos almacenados fuera de los repositorios internos afectados se hayan visto comprometidos.
- Contención:La brecha parece estar estrictamente contenida en los activos de desarrollo interno de GitHub y no afecta a la integridad de la plataforma en general ni a los datos de clientes de terceros.
La campaña más amplia "Mini Shai-Hulud
Este incidente pone de relieve el riesgo más amplio y bien documentado que plantean los ataques a la cadena de suministro de software dirigidos a entornos de desarrolladores, ecosistemas de paquetes y conductos CI/CD. Las amenazas se centran cada vez más en estos vectores debido a su capacidad para proporcionar acceso indirecto al código fuente, las credenciales y los entornos de producción.
Las técnicas más comunes en los ataques a la cadena de suministro incluyen
- Compromiso de las herramientas de desarrollo: Se pueden utilizar extensiones, plugins o dependencias maliciosas o troyanizadas para obtener acceso inicial a las estaciones de trabajo de los desarrolladores y a los recursos asociados.
- Abuso del ecosistema de paquetes: Los atacantes pueden publicar o modificar paquetes en registros públicos (por ejemplo, npm, PyPI) para introducir código malicioso, a menudo aprovechando cuentas de mantenimiento comprometidas o técnicas de typosquatting.
- Abuso de los conductos CI/CD: Los sistemas de integración y despliegue continuos son atacados para acceder a artefactos de construcción, inyectar código malicioso o extraer credenciales sensibles como tokens de API y secretos.
- Acceso y extracción de credenciales: El malware desplegado a través de vectores de la cadena de suministro se dirige con frecuencia a datos confidenciales, incluidos tokens de acceso, claves SSH y credenciales de nube, que luego pueden utilizarse para el movimiento lateral o la persistencia.
Recomendaciones
A la luz de esta brecha y de la campaña en curso "Mini Shai-Hulud", las organizaciones deben reforzar inmediatamente sus entornos de desarrollo y las defensas de la cadena de suministro. Se recomiendan las siguientes acciones:
- Auditar las extensiones de terceros:Audite y gestione estrictamente todas las extensiones de terceros instaladas en entornos de desarrollo, especialmente en el caso de cuentas con privilegios elevados. Elimine inmediatamente cualquier extensión de VS Code no esencial o no reconocida.
- Implemente políticas de control de aplicaciones:Implemente políticas de control de aplicaciones para hacer cumplir la lista de extensiones VS Code aprobadas. Bloquee la instalación de extensiones de editores desconocidos o no verificados.
- Supervise las estaciones de trabajo de los desarrolladores:Mejore la supervisión de detección y respuesta de puntos finales (EDR) para estaciones de trabajo de desarrolladores. Busque intentos de acceso no autorizados, tráfico de red inusual o conexiones a servidores conocidos de Comando y Control (C2) de TeamPCP que se originen en procesos IDE.
- Revise el acceso a repositorios internos:Revise los controles de acceso a los repositorios internos, aplicando el principio del mínimo privilegio. Asegúrese de que los activos internos de alto valor estén estrictamente segmentados de los flujos de trabajo estándar de los desarrolladores.
- Entender las TTPsde TeamPCP: Estar alerta contra las Tácticas, Técnicas y Procedimientos (TTPs) de TeamPCP, específicamente en lo que respecta a los compromisos de la cadena de suministro, la exfiltración de credenciales.
Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contactopara averiguar cómo puede proteger su organización.