GitHub a confirmé l'accès non autorisé et l'exfiltration d'environ 3 800 de ses référentiels de développement internes. La violation a été orchestrée par le groupe de cybercriminelsTeamPCP, motivé financièrement, qui a exploité une extension trojanisée de Microsoft Visual Studio Code (VS Code) installée sur l'appareil d'un employé privilégié.

Le code source volé aurait été mis en vente sur un forum de cybercriminels. GitHub a déclaré qu'il n'y a actuellement aucune preuve que des données de clients ou des données stockées en dehors de ces référentiels internes aient été compromises. Cet incident met en évidence l'escalade des risques pour les environnements de développement et souligne la sophistication de la campagne plus large de la chaîne d'approvisionnement "Mini Shai-Hulud" de TeamPCP.

Résumé de l'incident et cause première

La violation a commencé lorsqu'un employé de GitHub a installé une extension malveillante et trojanisée dans son environnement Microsoft Visual Studio Code. Une fois installée, l'extension a exécuté un logiciel malveillant qui a permis à TeamPCP de compromettre l'appareil et d'exfiltrer des actifs internes sensibles.

• Vecteur de déclenchement :Installation d'une extension VS Code empoisonnée provenant du marché officiel (qui a été supprimée par la suite).
• Acteur de la menace :Le groupe TeamPCP a revendiqué la responsabilité de la violation et vend ces données sur un forum du dark web au prix minimum de 50 000 dollars.
• Remédiation :GitHub a immédiatement sécurisé l'appareil de l'employé concerné, retiré l'extension malveillante du VS Code Marketplace et commencé à enquêter sur l'étendue de l'accès non autorisé.

Évaluation de l'impact

GitHub a évalué l'impact et confirmé ce qui suit :

• Dépôts internes :Environ 3 800 référentiels internes de GitHub ont été exfiltrés. Ils contiennent des actifs de développement interne, du code source privé et des outils propriétaires.
• Données clients :Il n'y aaucune preuveque les données des clients, les systèmes de production ou les données stockées en dehors des référentiels internes affectés aient été compromises.
• Confinement :La violation semble être strictement limitée aux actifs de développement internes de GitHub et n'a pas d'impact sur l'intégrité de la plateforme au sens large ou sur les données de clients tiers.

La campagne "Mini Shai-Hulud" au sens large

Cet incident met en évidence le risque plus large et bien documenté posé par les attaques de la chaîne d'approvisionnement en logiciels ciblant les environnements de développement, les écosystèmes de paquets et les pipelines CI/CD. Les acteurs de la menace se concentrent de plus en plus sur ces vecteurs en raison de leur capacité à fournir un accès indirect au code source, aux informations d'identification et aux environnements de production.

Les techniques couramment observées dans les attaques de la chaîne d'approvisionnement sont les suivantes :

• Compromission des outils de développement : Des extensions, des plugins ou des dépendances malveillants ou contenant des chevaux de Troie peuvent être utilisés pour obtenir un accès initial aux postes de travail des développeurs et aux ressources associées.
• Abus de l'écosystème des paquets : Les attaquants peuvent publier ou modifier des paquets dans des registres publics (par exemple, npm, PyPI) pour introduire du code malveillant, souvent en utilisant des comptes de mainteneurs compromis ou des techniques de typosquattage.
• Abus des pipelines CI/CD : Les systèmes d'intégration et de déploiement continus sont ciblés pour accéder aux artefacts de construction, injecter du code malveillant ou extraire des informations d'identification sensibles telles que des jetons d'API et des secrets.
• Accès aux informations d'identification et exfiltration : Les logiciels malveillants déployés via les vecteurs de la chaîne d'approvisionnement ciblent fréquemment les données sensibles, notamment les jetons d'accès, les clés SSH et les identifiants cloud, qui peuvent ensuite être utilisés pour un mouvement latéral ou une persistance.

Recommandations

À la lumière de cette brèche et de la campagne "Mini Shai-Hulud" en cours, les organisations doivent immédiatement renforcer leurs environnements de développement et les défenses de leur chaîne d'approvisionnement. Les actions suivantes sont recommandées :

1. Contrôler les extensions tierces :Auditer et gérer de manière stricte toutes les extensions tierces installées dans les environnements de développement, en particulier pour les comptes à privilèges élevés. Supprimer immédiatement toute extension VS Code non essentielle ou non reconnue.
2. Mettre en œuvre des politiques de contrôle des applications :Déployer des politiques de contrôle des applications afin d'appliquer la liste des extensions VS Code approuvées. Bloquer l'installation d'extensions provenant d'éditeurs inconnus ou non vérifiés.
3. Surveiller les postes de travail des développeurs :Améliorez la surveillance des postes de travail des développeurs grâce à la détection et à la réponse des points finaux (EDR). Rechercher les tentatives d'accès non autorisé, le trafic réseau inhabituel ou les connexions aux serveurs de commande et de contrôle (C2) TeamPCP connus provenant des processus IDE.
4. Examiner l'accès aux référentiels internes :Examiner les contrôles d'accès aux référentiels internes, en appliquant le principe du moindre privilège. Veiller à ce que les actifs internes de grande valeur soient strictement séparés des flux de travail standard des développeurs.
5. Comprendre les tactiques, techniques et procédures de TeamPCP : Soyez vigilant face aux tactiques, techniques et procédures (TTP) de TeamPCP, en particulier en ce qui concerne les compromissions de la chaîne d'approvisionnement et l'exfiltration des informations d'identification.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte ou prendre contact avec nouspour savoir comment vous pouvez protéger votre organisation.