GitHub har bekräftat obehörig åtkomst och exfiltrering av cirka 3 800 av sina interna utvecklingsarkiv. Intrånget orkestrerades av den ekonomiskt motiverade cyberbrottsgruppenTeamPCP, som utnyttjade en trojaniserad Microsoft Visual Studio Code (VS Code) -tillägg installerad på en privilegierad anställds enhet.
Den stulna källkoden erbjöds enligt uppgift till försäljning på ett cyberbrottsforum. GitHub har uppgett att det för närvarande inte finns några bevis för att kunddata eller data som lagras utanför dessa interna arkiv har äventyrats. Incidenten belyser den eskalerande risken för utvecklarmiljöer och understryker sofistikeringen av TeamPCP:s bredare "Mini Shai-Hulud"-kampanj i leverantörskedjan.
Sammanfattning av incidenten och grundorsaken
Intrånget uppstod när en GitHub-anställd installerade ett skadligt, trojaniserat tillägg i sin Microsoft Visual Studio Code-miljö. När tillägget var installerat körde det skadlig kod som gjorde det möjligt för TeamPCP att kompromissa med enheten och exfiltrera känsliga interna tillgångar.
- Utlösande vektor:Installation av ett förgiftat VS Code-tillägg från den officiella marknadsplatsen (som senare togs bort).
- Hotaktör:Gruppen TeamPCP tog på sig ansvaret för intrånget och säljer dessa data på ett dark web-forum med ett minimipris på 50 000 USD.
- Åtgärdande:GitHub säkrade omedelbart den berörda medarbetarens enhet, tog bort det skadliga tillägget från VS Code Marketplace och började undersöka omfattningen av den obehöriga åtkomsten.
Bedömning av påverkan
GitHub har bedömt påverkan och bekräftat följande:
- Interna arkiv:Cirka 3 800 interna GitHub-arkiv exfiltrerades. Dessa innehåller interna utvecklingstillgångar, privat källkod och proprietära verktyg.
- Kunddata:Det finnsinga bevisför att kunddata, produktionssystem eller data som lagras utanför de drabbade interna lagringsplatserna har äventyrats.
- Begränsning:Intrånget verkar vara strikt begränsat till GitHubs interna utvecklingstillgångar och påverkar inte den bredare plattformens integritet eller kunddata från tredje part.
Den bredare "Mini Shai-Hulud"-kampanjen
Den här incidenten belyser den bredare och väldokumenterade risken med attacker mot programvaruförsörjningskedjan som riktar sig mot utvecklarmiljöer, paketekosystem och CI/CD-pipelines. Hotaktörer fokuserar alltmer på dessa vektorer på grund av deras förmåga att ge indirekt åtkomst till källkod, referenser och produktionsmiljöer.
Vanliga tekniker i attacker mot leverantörskedjan är bland annat
- Kompromiss av utvecklarverktyg: Skadliga eller trojaniserade tillägg, plugins eller beroenden kan användas för att få initial åtkomst till utvecklarnas arbetsstationer och tillhörande resurser.
- Missbruk av ekosystem för paket: Angripare kan publicera eller modifiera paket i offentliga register (t.ex. npm, PyPI) för att införa skadlig kod, ofta genom att utnyttja komprometterade underhållarkonton eller typosquatting-tekniker.
- Missbruk av CI/CD-pipelines: System för kontinuerlig integration och distribution utnyttjas för att komma åt byggartefakter, injicera skadlig kod eller extrahera känsliga uppgifter som API-tokens och hemligheter.
- Tillgång till och exfiltrering av referenser: Skadlig programvara som distribueras via leveranskedjans vektorer riktar sig ofta mot känsliga data, inklusive åtkomsttokens, SSH-nycklar och molnuppgifter, som sedan kan användas för lateral rörelse eller uthållighet.
Rekommendationer
Mot bakgrund av detta intrång och den pågående kampanjen "Mini Shai-Hulud" måste organisationer omedelbart stärka sina utvecklarmiljöer och försvaret i leverantörskedjan. Följande åtgärder rekommenderas:
- Granska tillägg från tredje part:Strikt granska och hantera alla tredjepartstillägg som installeras i utvecklingsmiljöer, särskilt för konton med hög behörighet. Ta bort alla icke-väsentliga eller oigenkända VS Code-tillägg omedelbart.
- Implementera policyer för applikationskontroll:Distribuera policyer för applikationskontroll för att genomdriva tillståndslistan över godkända VS Code-tillägg. Blockera installationen av tillägg från okända eller overifierade utgivare.
- Övervaka utvecklarnas arbetsstationer:Förbättra övervakningen av endpoint detection and response (EDR) för utvecklarnas arbetsstationer. Leta efter obehöriga åtkomstförsök, ovanlig nätverkstrafik eller anslutningar till kända TeamPCP Command & Control (C2)-servrar som härrör från IDE-processer.
- Granska åtkomst till interna arkiv:Granska åtkomstkontrollerna för interna arkiv och tillämpa principen om minsta möjliga privilegium. Se till att interna tillgångar med högt värde är strikt segmenterade från standardutvecklarnas arbetsflöden.
- Förstå TeamPCP TTP: Var vaksam mot TeamPCP: s taktik, tekniker och procedurer (TTP), särskilt när det gäller kompromisser i leveranskedjan, exfiltrering av referenser.
Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativt kontakta oss förattta redapå hur du kan skydda din organisation.