GitHub avertis pri neaŭtorizita aliro al siaj internaj deponejoj. La atako rezultis el kompromitiĝo de la laborstacio de dungito post kiam ili instalis novan version de VS Code-etendaĵo enhavanta malican kodon. Detaloj estos publikigitaj post kiam la esploro finiĝos. Laŭ preparaj raportoj, uzantinformoj konservitaj ekster la internaj deponejoj de GitHub ne estis kompromititaj. La atako limiĝis al liko de informoj el proksimume 3 800 internaj deponejoj posedataj de GitHub.
La preciza instalita aldonaĵo de VS Code ne estis specifita. Inter lastatempaj atakoj kontraŭ uzantoj de VS Code, rimarkinda estis la hieraŭa okazaĵo implikanta la aldonaĵon Nx Console, kiu havas 2.2 milionojn da instaloj. Atakantoj kaptis la ensalutajn informojn de la GitHub-konto de unu el la programistoj de Nx Console kaj publikigis novan eldonon, 18.95.0, enhavantan malican kodon desegnitan por ŝteli sentemajn datumojn, kiel pasvortojn kaj alirajn ĵetonojn por GitHub, npm, AWS, HashiCorp Vault, Kubernetes kaj 1Password. La malica eldono estis publikigita en la Visual Studio Marketplace la 19-an de majo je 15:30 ptm kaj forigita je 15:48 ptm (Moskva tempo).
Ankaŭ indas rimarki la kompromison de la 11-a de majo de du laborstacioj apartenantaj al dungitoj de OpenAI, kiuj instalis malicajn ĝisdatigojn al pakaĵoj de TanStack NPM enhavantaj mem-disvastiĝantan vermon. La malicaj versioj estis publikigitaj kiel rezulto de atako kontraŭ la publikiga procezo de GitHub Actions de la projekto TanStack. Kiel rezulto de la agado de la vermo, servilo La atakantoj ricevis akreditaĵojn kaj alirŝlosilojn situantajn sur infektitaj komputiloj apartenantaj al dungitoj de OpenAI. Notiĝas, ke la infektitaj sistemoj havis limigitan aliron al kelkaj internaj deponejoj de OpenAI, kiuj, interalie, stokis atestilojn por ciferece subskribi produktojn por la platformoj. Windows, macOS, iOS kaj AndroidPost la malkovro de la problemo, OpenAI komencis la procezon anstataŭigi la atestilojn uzatajn por ciferece subskribi ChatGPT Desktop, Codex App, Codex CLI kaj Atlas.
Interese, ĉi tio ne estas la unua tia okazaĵo ĉe OpenAI. La sistemoj de dungitoj ankaŭ estis infektitaj per malica programaro en aprilo post instalado de malica eldono de la pakaĵo Axios NPM, kiun atakantoj sukcesis publikigi per kaptado de la akreditaĵoj de la ĉefa prizorgisto. Post ĉi tiu okazaĵo, protekto kontraŭ malicaj dependecoj estis efektivigita sur la komputiloj de la programistoj, sed ĝi ne estis instalita sur la sistemoj de la dungitoj poste kompromititaj per TanStack.
fonto: opennet.ru
