Isang nalason na VS Code extension ang nakalabag sa mga panloob na repositoryo ng GitHub. Humigit-kumulang 3,800 repos ang maaaring nakalantad habang pinaiikot ng GitHub ang mga sikreto at iniimbestigahan ang pag-atake.
Isang device ng empleyado. Iyon ang daan papasok. Kinumpirma ng GitHub na natukoy at napigilan nila ang isang pagsalakay na kinasasangkutan ng isang nalason na VS Code extension na naka-install sa isang panloob na device. Ang malisyosong bersyon ng extension ay inalis na. Na-isolate ang endpoint. Agad na nagsimula ang pagtugon sa insidente matapos matukoy, ayon sa kumpanya.
Una nang minarkahan ng platform ang hindi pangkaraniwang aktibidad sa isang post sa X, na nagsasabing iniimbestigahan nito ang hindi awtorisadong pag-access sa mga panloob na repositoryo nito. Wala pang natagpuang ebidensya ng epekto sa data ng customer na hawak sa labas ng mga panloob na sistemang iyon sa puntong iyon.
Ano ang Nakuha at Gaano Kalalim Ito
Mamaya ay inangkin ng umaatake na may access ito sa humigit-kumulang 3,800 repositoryo. Sinabi ng GitHub sa X na ang bilang na iyon ay “directionally consistent” sa kung ano ang natuklasan ng imbestigasyon sa ngayon.
Ang paglabag ay bakas sa isang pag-atake sa supply chain sa mga tool ng developer. Hindi direktang pagpasok sa sistema. May naglason ng extension na pinagkakatiwalaan ng mga developer araw-araw, naghintay, at tinipon ang anumang dumaan.
Binanggit ng GitHub sa isang follow-up na post na ang mga kritikal na sikreto ay pinaikot sa parehong araw na natukoy ang paglabag at buong gabing iyon. Ang mga kredensyal na may pinakamataas na epekto ang unang inilipat. Ipinagpatuloy ng kumpanya ang pag-validate ng mga rotations na iyon at pag-monitor para sa kasunod na aktibidad.
Pahayag ng Founder ng Binance
Si Changpeng Zhao, na kilala sa X bilang @cz_binance, ay nag-quote ng paunang pagsisiwalat ng insidente ng GitHub. Tuwiran ang kanyang mensahe: sinumang may mga API key na naka-imbak sa code, kahit sa mga pribadong repositoryo, ay dapat suriin at paikutin ang mga ito ngayon.
Ang mga pribadong repo ay hindi ligtas na lugar para sa mga sikreto. Iyon ang punto. Ayon sa @github sa X, tila ang mga repositoryo na panloob lamang ng GitHub ang naapektuhan. Ang mga enterprise, organisasyon, at repositoryong pag-aari ng customer sa platform ay wala sa saklaw ng in-access, batay sa kasalukuyang mga natuklasan.
Maaaring magbago iyon. Nilinaw ng GitHub na nananatiling bukas ang imbestigasyon at susunod ang karagdagang aksyon kung kinakailangan.
Kronolohiya ng GitHub Mula nang Matukoy
Mabilis ang pagtugon, kahit sa bahagi ng mga sikreto. Na-prioritize ang mga kritikal na kredensyal sa loob ng ilang oras. Sinusuri pa rin ang mga log. Sinabi ng GitHub sa X na plano nitong mag-publish ng mas kumpletong ulat kapag natapos na ang imbestigasyon.
Walang ibinigay na timeline kung kailan ilalabas ang ulat na iyon.
Ang mas malawak na pattern dito ay hindi ganap na bago. Ang mga tool ng developer ay naging paulit-ulit na entry point para sa mga umaatake na mas pinipili ang pagtitiyaga kaysa sa brute force. Isang pinagkakatiwalaang extension, na naka-install sa isang lehitimong device, sa loob ng isang pangunahing kumpanya ng imprastraktura. Diretso ang matematika kung handa kang maghintay.
Inulit ng GitHub sa thread nito sa X na aabisuhan ang mga customer sa pamamagitan ng mga itinatag na channel ng pagtugon sa insidente kung may matuklasang epekto sa kanilang data.
Patuloy ang imbestigasyon.
Mag-iwan ng Tugon