GitHub diz que hackers roubaram dados de milhares de internal repositories
GitHub afirma que invasores roubaram dados de cerca de 3.800 internal repositories após comprometerem um dispositivo de funcionário com uma poisoned extension do VS Code, de acordo com o TechCrunch. A empresa diz que, até agora, não há evidências de que informações de clientes armazenadas fora desses internal repositories tenham sido afetadas, mas a investigação ainda está em andamento.
Isso é importante porque o incidente atinge uma das camadas mais confiáveis do desenvolvimento moderno de software. O GitHub não é apenas mais uma plataforma SaaS; ele está próximo do source code, dos workflows de developer, dos pipelines de automação e dos controles de segurança em todo o setor. Quando uma violação começa com uma malicious extension em vez de um comprometimento convencional de servidor, isso também reforça uma verdade mais dura para as equipes de engenharia: as ferramentas de developer se tornaram parte da attack surface da software supply chain.
O GitHub informou que detectou e conteve o comprometimento em um dispositivo de funcionário e vinculou a intrusão a uma poisoned extension do Visual Studio Code, o editor de código amplamente utilizado. A empresa não identificou publicamente a extension na divulgação inicial. O TechCrunch também reportou que The Record e BleepingComputer atribuíram o ataque a um grupo chamado TeamPCP, que supostamente assumiu a responsabilidade pela violação e estaria oferecendo os dados roubados em um fórum de cibercrime.
O padrão técnico é familiar, mesmo que o alvo seja excepcionalmente de alto perfil. Os invasores têm usado cada vez mais software packages, plugins e extensions como pontos de distribuição porque eles estão inseridos em trusted workflows. Se um malicious component atingir developer suficientes, o comprometimento pode se espalhar muito além de uma única empresa para downstream projects, credentials e cloud environments. O próprio GitHub observou que ataques a popular open-source projects e coding extensions estão se tornando uma forma mais comum de atingir um grande número de sistemas de uma só vez.
A implicação maior não é apenas o que pode ter sido roubado do GitHub, mas o que isso diz sobre as prioridades de segurança para as organizações de desenvolvimento. Muitas equipes já escaneiam dependencies e container images, mas extensions, local development environments e dispositivos de funcionários ainda criam blind spots. Um comprometimento que começa na camada do editor pode contornar alguns dos controles que as empresas colocam em torno dos production systems e da central infrastructure.
Para as equipes de software, a lição prática é tratar as workstations e extensions de developer como production-adjacent assets. Isso significa extension allowlists mais rígidas, melhor monitoramento do endpoint behavior em ambientes de engenharia, revisão mais rápida de unusual repository access e mais disciplina em relação a tokens e cloud credentials que podem ser expostas por meio de local tooling. O GitHub disse que sua investigação está em andamento, portanto, o escopo completo ainda pode mudar. Mas, mesmo com os fatos iniciais, isso já é um lembrete de que o caminho para o sensitive code muitas vezes começa com as tools que os developer mais confiam.
Originally reported by TechCrunch. Read the original article for additional details.
View original source