GitHub ha confermato l'accesso non autorizzato e l'esfiltrazione di circa 3.800 dei suoi repository di sviluppo interni. La violazione è stata orchestrata dal gruppo di criminali informatici finanziariamente motivatiTeamPCP, che ha sfruttato un'estensione troianizzata di Microsoft Visual Studio Code (VS Code) installata sul dispositivo di un dipendente privilegiato.

Il codice sorgente rubato sarebbe stato messo in vendita su un forum di criminalità informatica. GitHub ha dichiarato che al momento non ci sono prove che i dati dei clienti o i dati archiviati al di fuori di questi repository interni siano stati compromessi. L'incidente evidenzia il rischio crescente per gli ambienti degli sviluppatori e sottolinea la sofisticatezza della più ampia campagna della catena di approvvigionamento di TeamPCP "Mini Shai-Hulud".

Sintesi dell'incidente e cause principali

La violazione ha avuto origine quando un dipendente di GitHub ha installato un'estensione dannosa e troianizzata nel suo ambiente Microsoft Visual Studio Code. Una volta installata, l'estensione ha eseguito un malware che ha permesso a TeamPCP di compromettere il dispositivo e di esfiltrare risorse interne sensibili.

• Vettore di innesco:Installazione di un'estensione di VS Code avvelenata dal marketplace ufficiale (successivamente rimossa).
• Attore della minaccia:Il gruppo TeamPCP ha rivendicato la responsabilità della violazione e sta vendendo questi dati su un forum del dark web con un prezzo minimo di 50.000 dollari.
• Rimedio:GitHub ha immediatamente messo in sicurezza il dispositivo dei dipendenti interessati, ha rimosso l'estensione dannosa dal VS Code Marketplace e ha iniziato a indagare sulla portata dell'accesso non autorizzato.

Valutazione dell'impatto

GitHub ha valutato l'impatto e ha confermato quanto segue:

• Repository interni:Circa 3.800 repository interni di GitHub sono stati esfiltrati. Questi contengono risorse di sviluppo interne, codice sorgente privato e strumenti proprietari.
• Dati dei clienti:Non vi sono proveche i dati dei clienti, i sistemi di produzione o i dati archiviati al di fuori dei repository interni interessati siano stati compromessi.
• Contenimento:La violazione sembra essere strettamente limitata alle risorse di sviluppo interne di GitHub e non ha un impatto sull'integrità della piattaforma più ampia o sui dati dei clienti di terze parti.

La più ampia campagna "Mini Shai-Hulud

Questo incidente evidenzia il rischio più ampio e ben documentato rappresentato dagli attacchi alla catena di fornitura del software che prendono di mira gli ambienti degli sviluppatori, gli ecosistemi di pacchetti e le pipeline CI/CD. Gli attori delle minacce si concentrano sempre più su questi vettori per la loro capacità di fornire accesso indiretto al codice sorgente, alle credenziali e agli ambienti di produzione.

Le tecniche comunemente osservate negli attacchi alla catena di approvvigionamento includono:

• Compromissione degli strumenti per gli sviluppatori: Estensioni, plugin o dipendenze dannose o troianizzate possono essere utilizzate per ottenere l'accesso iniziale alle workstation degli sviluppatori e alle risorse associate.
• Abuso dell'ecosistema dei pacchetti: Gli aggressori possono pubblicare o modificare i pacchetti nei registri pubblici (ad esempio, npm, PyPI) per introdurre codice dannoso, spesso sfruttando account di manutentori compromessi o tecniche di typosquatting.
• Abuso delle pipeline CI/CD: I sistemi di integrazione e distribuzione continua sono presi di mira per accedere agli artefatti di compilazione, iniettare codice dannoso o estrarre credenziali sensibili come token API e segreti.
• Accesso ed esfiltrazione di credenziali: Il malware distribuito tramite vettori della catena di approvvigionamento mira spesso a dati sensibili, tra cui token di accesso, chiavi SSH e credenziali del cloud, che possono essere utilizzati per il movimento laterale o la persistenza.

Raccomandazioni

Alla luce di questa violazione e della campagna "Mini Shai-Hulud" in corso, le organizzazioni devono immediatamente rafforzare gli ambienti degli sviluppatori e le difese della supply chain. Si consigliano le seguenti azioni:

1. Controllare le estensioni di terze parti:Verificare e gestire rigorosamente tutte le estensioni di terze parti installate negli ambienti di sviluppo, in particolare per gli account con privilegi elevati. Rimuovere immediatamente tutte le estensioni di VS Code non essenziali o non riconosciute.
2. Implementare le politiche di controllo delle applicazioni:Implementare le politiche di controllo delle applicazioni per imporre l'inserimento nell'elenco delle estensioni approvate di VS Code. Bloccate l'installazione di estensioni da editori sconosciuti o non verificati.
3. Monitorare le workstation degli sviluppatori:Migliorate il monitoraggio dell'endpoint detection and response (EDR) per le workstation degli sviluppatori. Cercate tentativi di accesso non autorizzati, traffico di rete insolito o connessioni a server di comando e controllo (C2) TeamPCP noti provenienti da processi IDE.
4. Esaminare l'accesso al repository interno:Esaminare i controlli di accesso ai repository interni, applicando il principio del minimo privilegio. Assicurarsi che le risorse interne di alto valore siano strettamente segmentate dai flussi di lavoro standard degli sviluppatori.
5. Comprendere le TTP di TeamPCP:essere vigili contro le tattiche, le tecniche e le procedure (TTP) di TeamPCP, in particolare per quanto riguarda le compromissioni della catena di approvvigionamento e l'esfiltrazione delle credenziali.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, contattateciper scoprire come potete proteggere la vostra organizzazione.