GitHub میگوید هکرها دادههای هزاران repository داخلی را دزدیدند
GitHub میگوید مهاجمان پس از به خطر انداختن دستگاه یک کارمند با یک extension مسموم VS Code، دادههای حدود ۳,۸۰۰ repository داخلی را دزدیدند، به گزارش TechCrunch. این شرکت میگوید تاکنون هیچ مدرکی دال بر تأثیرگذاری بر اطلاعات مشتریان ذخیرهشده خارج از آن repositoryهای داخلی وجود ندارد، اما تحقیقات همچنان ادامه دارد.
این موضوع اهمیت دارد زیرا این حادثه یکی از قابلاعتمادترین لایهها در توسعه نرمافزار مدرن را هدف قرار میدهد. GitHub فقط یک SaaS platform دیگر نیست؛ آن نزدیک به source code، workflowهای developer، خطوط لوله خودکار و کنترلهای امنیتی در سراسر صنعت قرار دارد. هنگامی که یک نقض با یک malicious extension به جای یک به خطر افتادن سرور معمولی شروع میشود، این حقیقت سختتری را برای تیمهای مهندسی تقویت میکند: ابزارهای developer به بخشی از سطح حمله supply-chain تبدیل شدهاند.
GitHub گفت که نقض را روی دستگاه یک کارمند شناسایی و مهار کرده و این نفوذ را به یک extension مسموم برای Visual Studio Code، ویرایشگر کد پرکاربرد، مرتبط کرد. این شرکت در افشای اولیه، extension را به صورت عمومی شناسایی نکرد. TechCrunch همچنین گزارش داد که The Record و BleepingComputer این حمله را به گروهی به نام TeamPCP نسبت دادهاند که ظاهراً مسئولیت این نقض را بر عهده گرفته و گفته میشود دادههای دزدیده شده را در یک انجمن جرایم سایبری ارائه میدهد.
الگوی فنی آشناست، حتی اگر هدف به طور غیرمعمولی برجسته باشد. مهاجمان به طور فزایندهای از بستههای نرمافزاری، پلاگینها و extensionها به عنوان نقاط توزیع استفاده میکنند زیرا درون workflowهای مورد اعتماد قرار دارند. اگر یک component مخرب به تعداد کافی از developerها برسد، نقض میتواند فراتر از یک شرکت و به پروژههای downstream، اعتبارنامهها و محیطهای cloud گسترش یابد. خود GitHub اشاره کرد که حملات به پروژههای open-source محبوب و coding extensionها در حال تبدیل شدن به روشی رایجتر برای دسترسی همزمان به تعداد زیادی از سیستمها هستند.
پیامد بزرگتر نه تنها آن چیزی است که ممکن است از GitHub گرفته شده باشد، بلکه آنچه این موضوع در مورد اولویتهای امنیتی برای سازمانهای توسعه میگوید. بسیاری از تیمها از قبل وابستگیها و تصاویر کانتینر را اسکن میکنند، اما extensionها، محیطهای توسعه محلی و دستگاههای کارمندان همچنان نقاط کور ایجاد میکنند. یک نقض که از لایه ویرایشگر آغاز میشود میتواند برخی از کنترلهایی که شرکتها در اطراف سیستمهای تولید و زیرساخت مرکزی قرار میدهند دور بزند.
برای تیمهای نرمافزاری، درس عملی این است که workstationهای developer و extensionها را به عنوان داراییهای مجاور تولید در نظر بگیرند. این به معنای لیست سفید سختگیرانهتر برای extensionها، نظارت بهتر بر رفتار endpoint در محیطهای مهندسی، بررسی سریعتر دسترسی غیرعادی به repositoryها، و انضباط بیشتر در مورد tokenها و اعتبارنامههای cloud است که ممکن است از طریق ابزارهای محلی در معرض دید قرار گیرند. GitHub گفته است که تحقیقات آن ادامه دارد، بنابراین دامنه کامل ممکن است همچنان تغییر کند. اما حتی از حقایق اولیه، این یک یادآوری است که مسیر ورود به کد حساس اغلب با ابزارهایی شروع میشود که developerها بیشتر به آنها اعتماد دارند.
Originally reported by TechCrunch. Read the original article for additional details.
View original source