Платформа GitHub розслідує інцидент із несанкціонованим доступом до своїх внутрішніх репозиторіїв після того, як хакерське угруповання TeamPCP виставило на продаж вихідний код сервісу за $50 000. Зловмисники стверджують, що отримали доступ до близько 4000 внутрішніх репозиторіїв компанії.
Платформа GitHub розслідує інцидент із несанкціонованим доступом до своїх внутрішніх репозиторіїв після того, як хакерське угруповання TeamPCP виставило на продаж вихідний код сервісу за $50 000. Зловмисники стверджують, що отримали доступ до близько 4000 внутрішніх репозиторіїв компанії.
Як повідомляє Hacker News із посиланням на GitHub, наразі немає доказів того, що інцидент зачепив дані клієнтів, які зберігаються поза внутрішніми репозиторіями платформи. Проте компанія активно моніторить свою інфраструктуру та вже почала відкликати скомпрометовані облікові дані.
Причиною витоку став хакнутий комп’ютер одного зі співробітників через заражене шкідливим кодом розширення для середовища розробки Microsoft Visual Studio Code. Хоча GitHub офіційно не називає це розширення, експерти пов’язують інцидент із нещодавньою компрометацією Nx Console, де зловмисники впровадили інструмент для викрадення облікових даних розробників.
«Наша поточна оцінка полягає в тому, що ця активність стосувалася витоку лише внутрішніх репозиторіїв GitHub. Поточні заяви зловмисника про приблизно 3800 репозиторії загалом узгоджуються з результатами нашого розслідування», — повідомили в GitHub.
Самі хакери з TeamPCP заявили на кіберзлочинному форумі, що не планують шантажувати GitHub чи вимагати викуп: «Нам байдуже до вимагання грошей у GitHub. Один покупець — і ми знищимо дані на нашому боці. Схоже, ми незабаром підемо на пенсію, тож якщо покупець не знайдеться, ми оприлюднимо їх безплатно».
Цей інцидент є частиною ширшої та небезпечної кампанії TeamPCP, спрямованої на ланцюги постачання програмного забезпечення. Зокрема, угруповання зламало офіційний Python-клієнт Microsoft для фреймворку Durable Task (пакет durabletask на PyPI), який завантажується понад 417 000 разів на місяць. Отримавши токен доступу через раніше вкрадені секрети розробників, хакери завантажили шкідливі версії пакета, що автоматично запускають шкідливе ПЗ під час імпорту.
За даними дослідників кібербезпеки з компаній Wiz та SafeDep, цей софт працює на Linux-системах і націлений на викрадення паролів із 1Password та Bitwarden, ключів SSH, хмарних облікових даних AWS і Kubernetes. Щобільше, ПЗ містить специфічну деструктивну функцію: у разі виявлення ізраїльської або іранської локалі (але водночас ігнорує російськомовні системи) в налаштуваннях системи з ймовірністю 1 до 6 вірус відтворить аудіофайл, після чого повністю знищить усі дані на диску.
