GitHub потерял 3800 репозиториев из-за плагина VS Code

GitHub признал компрометацию примерно 3800 внутренних репозиториев после банальной, почти унизительной ошибки: сотрудник поставил вредоносное расширение для Visual Studio Code. Группировка TeamPCP заявляет, что унесла около 3800 приватных проектов и уже торгует архивом на Breached с минимальной ценой в $50 тысяч. История неприятна не только для GitHub. Она бьёт по всей цепочке разработки, где редактор кода давно стал точкой входа в

корпоративную инфраструктуру. Когда плагин получает токены, доступ к репозиториям и привычно живёт рядом с IDE, разница между «удобным инструментом» и трояном исчезает очень быстро. Как взломали GitHub через расширение VS Code По версии GitHub, заражённый плагин уже удалили из VS Code

Marketplace, а устройство сотрудника изолировали. Компания отдельно говорит, что не нашла признаков утечки пользовательских данных за пределами внутренних репозиториев. Формулировка ожидаемая, но утешение слабое: внутренние репозитории у платформы такого масштаба могут содержать инструменты сборки, служебные библиотеки, тестовую инфраструктуру и куски

того, что потом доезжает до миллионов пользователей. TeamPCP подаёт атаку без обычного спектакля про выкуп. Логика у них простая: либо кто-то платит, либо массив выкладывают бесплатно. Для подпольных форумов это удобная модель. Деньги можно получить сразу,

а можно заработать репутацию, слив архив в открытый доступ и запустив вторичную волну атак уже руками других групп. Сам вектор давно известен. Расширения в редакторах разработки имеют доступ туда, куда безопасники обычно не любят смотреть слишком внимательно: локальные файлы, переменные окружения, токены

CLI, SSH-ключи, историю команд. В корпоративной среде этого часто хватает, чтобы уйти далеко за пределы одного ноутбука. Почему расширения VS Code стали удобной точкой входа Visual Studio Code давно стал де-факто стандартом для разработки. В опросах Stack

Overflow последних лет он стабильно держался в лидерах среди редакторов у профессиональных разработчиков, то есть атаковать его экосистему выгодно чисто статистически. Чем массовее инструмент, тем меньше злоумышленникам нужен изысканный эксплойт. Достаточно правдоподобного описания и пары хороших отзывов. Microsoft уже не первый раз чистит Marketplace от мусора с сюрпризом внутри.

За последние годы там находили плагины с майнерами, похитителями данных и примитивными шифровальщиками. Проблема в том, что маркетплейс расширений по устройству доверия напоминает старый интернет: быстро публиковать удобно, а проверять всё подряд дорого и скучно, значит проверка неизбежно

отстаёт. Это та же логика supply chain-атак, которую индустрия наблюдает после SolarWinds и 3CX, только в более приземлённой форме. Не нужно ломать периметр компании в лоб, если можно подсунуть инструмент разработчику. В редакторах, сборщиках пакетов и

CI-сервисах сегодня хранится достаточно привилегий, чтобы один заражённый компонент быстро превратился в системную проблему. Что известно о TeamPCP и масштабе ущерба TeamPCP уже связывали с атаками на экосистемы PyPI, npm и Docker, а также с кампанией Mini Shai-Hulud, где среди затронутых фигурировали сотрудники OpenAI. Это важная деталь: речь идёт не о случайной группе, которая сорвала удачу один раз, а о команде, методично работающей по слабым местам цепочки

поставок ПО. Их профиль прост: заразить привычный инструмент, тихо собрать секреты, продать доступ или код тем, кому он нужнее. Для GitHub ставка выше обычной. Сервисом пользуются более 180 млн разработчиков и около 4 млн организаций, включая 90% компаний из Fortune 100. Когда такой игрок получает пробоину через плагин

редактора, индустрия получает неприятное напоминание: главный риск давно сидит не в экзотических zero-day, а в ежедневных мелочах, которые все ленятся считать угрозой. Архив TeamPCP выставил на продажу с минимальной ценой $50 тысяч.

Сообщает itzine.ru

 

Новость из рубрики: Технологии и Hi-Tech

 

Поделиться новостью:

 

Топ Новости Недели

• Современный подход к выводу из запоя на дому: этапы медицинской помощи, особенности лечения в домашних условиях и комплексное восстановление физического и психологического состояния...
• Полное руководство по вызову нарколога на дом: как проходит медицинская помощь, детоксикация организма, стабилизация состояния и дальнейшее восстановление при зависимости...
• Как проходит профессиональный вывод из запоя на дому: безопасная медицинская помощь, детоксикация организма, психологическая поддержка и дальнейшее восстановление пациента...
• Комплексный медицинский подход к выводу из запоя в стационаре: этапы лечения, восстановление организма, психологическая поддержка и долгосрочная реабилитация...
• Полное руководство по сдаче тестов в университете имени С.Ю. Витте: как устроена система контроля знаний, особенности онлайн-экзаменов, подготовка студентов и современные образовательные технологии...
• Почему слухи про слив базы Семяныч неактуальны...
• Полное и подробное руководство по выбору смартфонов и мобильных телефонов: как разобраться в характеристиках, технологиях и функциях, чтобы найти идеальное устройство для работы, общения и развлечений...
• Полное руководство по выбору пленки для сада: современные материалы, защита растений, создание идеального микроклимата и повышение урожайности на вашем участке...
• Как выбрать идеальный мобильный телефон в современном мире: подробное руководство по характеристикам, технологиям, функциям и грамотному подбору смартфона под любые задачи и стиль жизни...
• Искусство выбора зеркал для современного интерьера: как создать стильное пространство, визуально расширить помещение и подчеркнуть индивидуальность дизайна с помощью отражающих поверхностей...