‏نفوذ به ۳۸۰۰ ریپازیتوری داخلی GitHub از طریق افزونه مخرب VS Code

۲۰ خردادامنیت دواپس زیرساخت

GitHub تأیید کرده که حدود ۳۸۰۰ ریپازیتوری داخلیش نقض شده، چون یه توسعه‌دهنده ناخواسته یه افزونه مخرب برای VS Code نصب کرده بود. گروه هکری TeamPCP پشت این حمله قرار داره و داده‌های دزدیده‌شده رو به قیمت ۵۰ هزار دلار می‌فروشه. GitHub گفته تا الان شواهدی از تأثیر بر اطلاعات مشتریان خارج از ریپازیتوری‌های داخلیش پیدا نشده.

این محتوا به‌صورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه می‌شود و مسئولیت استفاده از آن به‌عهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید

خلاصهٔ کامل‌تر

GitHub تأیید کرده که یه افزونه مخرب VS Code باعث شده حدود ۳۸۰۰ ریپازیتوری داخلی این پلتفرم به سرقت بره. یه توسعه‌دهنده ناآگاهانه این افزونه رو نصب کرده بود و همین دسترسی اولیه به مهاجم داده. GitHub گفته نشتِ داده روز دوشنبه کشف شد و بلافاصله بعد از شناسایی، فرآیند چرخش اعتبارنامه‌های حیاتی (credential rotation) شروع شد.

Alexis Wales، مدیر ارشد امنیت اطلاعات GitHub، اعلام کرده که هیچ شواهدی از تأثیر بر اطلاعات مشتریان خارج از ریپازیتوری‌های داخلی وجود نداره. با این حال تأکید کرده که بعضی از این ریپازیتوری‌های داخلی ممکنه اطلاعاتی از مشتریان مثل بخش‌هایی از تعاملات پشتیبانی داشته باشن، و اگر تأثیری کشف بشه، مشتریان از طریق کانال‌های رسمی مطلع خواهند شد.

گروه هکری TeamPCP که اواخر سال گذشته ظهور کرده، مسئولیت این حمله رو به عهده گرفته. این گروه به کرم Mini Shai-Hulud مرتبطه و تخصصش حملات به زنجیره تأمین نرم‌افزاره؛ یعنی به‌جای نفوذ مستقیم، اعتبارنامه‌های CI/CD رو می‌دزده و از اون‌ها برای انتشار نسخه‌های آلوده از پکیج‌های دیگه استفاده می‌کنه. این گروه باج‌خواهی نکرده، بلکه داده‌ها رو به قیمت ۵۰ هزار دلار می‌فروشه و گفته اگه خریداری پیدا نشه، اون‌ها رو رایگان لیک می‌کنه.

این ماجرا دقیقاً یه روز بعد از رخ‌دادِ مشابهی فاش شد: افزونه Nx Console با ۲.۲ میلیون نصب در VS Code Marketplace، به‌طور موقت backdoor شده بود. نسخه مخرب اعتبارنامه‌ها رو بی‌صدا جمع می‌کرد. خوشبختانه افزونه در ۱۸ دقیقه از Marketplace و در ۳۶ دقیقه از Open VSX حذف شد. با این حال کارشناسان هشدار دادن که «سریع حذف شدن» با «جلوگیری از آسیب» یکی نیست.

Ilkka Turunen از Sonatype این اتفاق رو یه یادآوری جدی می‌دونه که توسعه‌دهنده‌ها حالا هدف دائمی حملات زنجیره تأمین نرم‌افزار شدن. به گفته او، مهاجمان به‌جای نفوذ مستقیم، از ابزارهایی که توسعه‌دهنده‌ها بهشون اعتماد دارن — مثل پکیج‌های متن‌باز، افزونه‌ها، و اعتبارنامه‌ها — به‌عنوان پل استفاده می‌کنن. با شتاب گرفتنِ یافتن آسیب‌پذیری توسط ابزارهای هوش مصنوعی، فاصله بین نفوذ و بهره‌برداری داره کوتاه‌تر و کوتاه‌تر می‌شه.

نکات کلیدی:

حدود ۳۸۰۰ ریپازیتوری داخلی GitHub از طریق یه افزونه مخرب VS Code به سرقت رفته
گروه TeamPCP مسئولیت حمله رو پذیرفته و داده‌ها رو به ۵۰ هزار دلار می‌فروشه
GitHub گفته اطلاعات مشتریان خارج از ریپازیتوری‌های داخلی در خطر نیستن
افزونه Nx Console هم در همین بازه زمانی backdoor شده بود؛ حذف سریع کافی نیست
کارشناسان به محدودیت سنی روی افزونه‌ها و پکیج‌ها به‌عنوان یه لایه دفاعی اشاره می‌کنن

منبع: https://www.itpro.com/security/github-internal-repositories-exfiltrated-via-malicious-vs-code-extension

اشتراک‌گذاری:

خلاصهٔ کامل‌تر

اخبار مرتبط