GitHub подтвердил факт утечки данных, затронувшей около 3800 его внутренних приватных репозиториев. При этом компания подчеркивает, что данные клиентов, хранящиеся вне этих внутренних репозиториев, не пострадали.
В своем официальном заявлении GitHub сообщил о начале расследования несанкционированного доступа к своим внутренним хранилищам данных. На данный момент нет никаких доказательств того, что клиентская информация, размещенная за пределами внутренних репозиториев GitHub, была затронута.
Причина взлома GitHub: скомпрометированное расширение Visual Studio Code
Позднее компания уточнила, что компрометация произошла через устройство одного из сотрудников, зараженное вредоносным расширением Visual Studio Code. Такие расширения могут быть установлены как из официального VS Code Marketplace, так и через сторонние источники или вручную.
GitHub не предоставил подробностей о том, как было установлено скомпрометированное расширение, не назвал его имени и не раскрыл других деталей инцидента. Известно, что расширение было удалено, и приняты меры для ограничения дальнейшего ущерба. Компания вновь подтвердила, что утечка данных касалась исключительно ее собственных внутренних репозиториев. Кроме того, текущие заявления злоумышленников о взломе примерно 3800 репозиториев в целом согласуются с предварительными результатами расследования GitHub. Полный отчет будет опубликован после его завершения.
TeamPCP взяла на себя ответственность и требует $50 000
За несколько часов до официального заявления GitHub хакерская группа TeamPCP на специализированном форуме взяла на себя ответственность за атаку, заявив о получении доступа к «исходным кодам и внутренним организациям GitHub». По их данным, это составило около 4000 приватных репозиториев. TeamPCP потребовала выкуп в размере 50 000 долларов за эти данные.
Хакеры заявили, что их действия не являются вымогательством: «Как всегда, это не выкуп. Мы не стремимся вымогать деньги у GitHub. Один покупатель — и мы уничтожим данные со своей стороны. Наш „выход на пенсию“ приближается, поэтому, если покупатель не будет найден, мы опубликуем данные бесплатно».
TeamPCP в последнее время демонстрирует высокую активность, совершив ряд значительных атак, ответственность за которые группа взяла на себя или которые ей приписываются. Среди известных инцидентов — компрометация Trivy/LiteLLM и Xinference на PyPI, что привело к цепной реакции. В частности, компрометация Trivy в конце марта привела к взлому Европейской комиссии.