В GitHub взломали 3800 внутренних репозиториев платформы

В GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована в результате атаки на цепочку поставок npm от TanStack на прошлой неделе.

Эта атака приписывается группе хакеров TeamPCP и началась со взлома десятков пакетов npm от TanStack и Mistral AI, а затем быстро распространилась на другие проекты (включая UiPath, Guardrails AI и OpenSearch) с использованием украденных учётных данных CI/CD.

TeamPCP была связана с другими крупными атаками на цепочки поставок, нацеленными на платформы для разработчиков кода, включая PyPI, NPM, GitHub и Docker, а также, совсем недавно, с кампанией «Mini Shai-Hulud» (которая также затронула двух сотрудников OpenAI).

В GitHub сообщили о взломе, заявив, что расследуют заявления о несанкционированном доступе к своим внутренним репозиториям. Инцидент произошёл из-за того, что сотрудник установил вредоносное расширение для Visual Studio Code.

Директор по информационной безопасности GitHub Алексис Уэйлс заявил, что взлом был связан с вредоносной версией Nx Console. Это официальное расширения Nx для Visual Studio Code, которое позволяет разработчикам управлять большими репозиториями и многопроектными кодовыми базами, не полагаясь полностью на сложные команды командной строки терминала. Уэйлс добавила, что GitHub с тех пор защитила скомпрометированное устройство и пока не обнаружила доказательств кражи данных клиентов, хранящихся вне репозиториев.

«В понедельник и вторник мы перераспределили критически важные секреты, уделяя первоочередное внимание учётным данным с наибольшим риском. Мы продолжаем анализировать журналы, проверять перераспределение секретов и отслеживать