GitHub heeft gewaarschuwd voor ongeautoriseerde toegang tot zijn interne repositories. De aanval vond plaats nadat een werkstation van een medewerker was gehackt en deze een nieuwe versie van een VS Code-extensie met kwaadaardige code had geïnstalleerd. Details zullen worden vrijgegeven zodra het onderzoek is afgerond. Volgens voorlopige berichten is er geen gebruikersinformatie buiten de interne repositories van GitHub gecompromitteerd. De aanval bleef beperkt tot het lekken van informatie uit ongeveer 3800 interne repositories van GitHub.
De exacte geïnstalleerde VS Code-add-on werd niet gespecificeerd. Onder de recente aanvallen op VS Code-gebruikers was het incident van gisteren met de Nx Console-add-on, die 2.2 miljoen installaties telt, opvallend. Aanvallers onderschepten de inloggegevens van een GitHub-account van een van de ontwikkelaars van Nx Console en publiceerden een nieuwe versie, 18.95.0, met kwaadaardige code die ontworpen was om gevoelige gegevens te stelen, zoals wachtwoorden en toegangstokens voor GitHub, npm, AWS, HashiCorp Vault, Kubernetes en 1Password. De kwaadaardige versie werd op 19 mei om 15:30 uur op de Visual Studio Marketplace geplaatst en om 15:48 uur (Moskou-tijd) weer verwijderd.
Het is ook de moeite waard om te vermelden dat op 11 mei twee werkstations van OpenAI-medewerkers werden gehackt. Zij installeerden kwaadaardige updates voor TanStack NPM-pakketten die een zelfverspreidende worm bevatten. De kwaadaardige versies werden gepubliceerd als gevolg van een aanval op het GitHub Actions-releaseproces van het TanStack-project. Door de activiteit van de worm, server De aanvallers ontvingen inloggegevens en toegangssleutels die zich bevonden op gecompromitteerde computers van OpenAI-medewerkers. Het is opmerkelijk dat de gecompromitteerde systemen beperkte toegang hadden tot enkele interne OpenAI-repositories, waarin onder andere certificaten voor het digitaal ondertekenen van producten voor de platformen waren opgeslagen. Windows, macOS, iOS en AndroidNa de ontdekking van het probleem is OpenAI begonnen met het vervangen van de certificaten die gebruikt worden voor de digitale ondertekening van ChatGPT Desktop, Codex App, Codex CLI en Atlas.
Opvallend genoeg is dit niet het eerste incident van dit soort bij OpenAI. In april raakten de systemen van medewerkers ook besmet met malware na de installatie van een kwaadaardige versie van het Axios NPM-pakket. Aanvallers hadden deze versie kunnen publiceren door de inloggegevens van de hoofdbeheerder te onderscheppen. Na dit incident werd er bescherming tegen kwaadaardige afhankelijkheden geïmplementeerd op de computers van de ontwikkelaars, maar deze bescherming werd niet geïnstalleerd op de systemen van de medewerkers die vervolgens via TanStack werden gehackt.
Bron: opennet.ru
