🥇Атакующие получили доступ к внутренним репозиториям GitHub и OpenAI

Сервис GitHub предупредил о выявлении неавторизированного доступа к своим внутренним репозиториям. Причиной стала компрометация рабочей станции одного из сотрудников, установившего новую версию одного из расширений к редактору кода VS Code, в которую был интегрирован вредоносный код. Подробности обещают опубликовать после завершения разбирательства. По предварительным данным информация пользователей, хранимая вне внутренних репозиториев компании GitHub, не пострадала. Атака ограничилась утечкой информации из примерно 3800 внутренних репозиториев, принадлежащих GitHub.

Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить вчерашний инцидент с дополнением Nx Console, насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console и опубликовать новый релиз 18.95.0, содержащий вредоносный код для кражи конфиденциальных данных, таких как пароли и токены доступа к GitHub, npm, AWS, HashiCorp Vault, Kubernetes и 1Password. Вредоносный выпуск был размещён в каталоге Visual Studio Marketplace 19 мая в 15:30 и удалён в 15:48 (MSK).

Дополнительно стоит упомянуть компрометацию 11 мая двух рабочих станций сотрудников компании OpenAI, установивших вредоносные обновления NPM-пакетов TanStack, содержащие саморастространяющийся червь. Вредоносные версии были опубликованы в результате атаки на процесс формирования релизов на базе GitHub Actions в проекте TanStack. В результате активности червя на сервер злоумышленников были отправлены учётные данные и ключи доступа, находящиеся на скомпрометированных компьютерах сотрудников OpenAI. Отмечается, что у скомпрометированных систем был ограниченный доступ к некоторым внутренним репозиториям OpenAI, в которых среди прочего хранились сертификаты для формирования цифровых подписей к продуктам для платформ Windows, macOS, iOS и Android. После выявления проблемы в OpenAI был инициирован процесс замены сертификатов, используемых для заверения цифровой подписью ChatGPT Desktop, Codex App, Codex CLI и Atlas.

Интересно, что это не первый подобный инцидент в OpenAI — системы сотрудников данной компании также были поражены вредоносным ПО в апреле после установки вредоносного релиза NPM-пакета Axios, который атакующим удалось опубликовать в результате перехвата учётных данных главного сопровождающего. После данного инцидента на компьютерах разработчиков была реализована защита от установки вредоносных зависимостей, но на системы сотрудников, впоследствии скомпрометированных через TanStack, её не установили.

Источник: opennet.ru