GitHub imeonya kuhusu ufikiaji usioidhinishwa wa hazina zake za ndani. Shambulio hilo lilitokana na maelewano katika kituo cha kazi cha mfanyakazi baada ya kusakinisha toleo jipya la kiendelezi cha Msimbo wa VS kilicho na msimbo hasidi. Maelezo yatatolewa baada ya uchunguzi kukamilika. Kulingana na ripoti za awali, taarifa za mtumiaji zilizohifadhiwa nje ya hazina za ndani za GitHub hazikuathiriwa. Shambulio hilo lilipunguzwa hadi uvujaji wa taarifa kutoka takriban hazina 3800 za ndani zinazomilikiwa na GitHub.
Kijalizo halisi cha Msimbo wa VS hakikuwekwa wazi. Miongoni mwa mashambulizi ya hivi karibuni dhidi ya watumiaji wa Msimbo wa VS, tukio la jana linalohusisha kijalizo cha Nx Console, ambacho kina mitambo milioni 2.2, lilikuwa la kukumbukwa. Washambuliaji walinasa taarifa za kuingia kwenye akaunti ya GitHub za mmoja wa watengenezaji wa Msimbo wa Nx na kuchapisha toleo jipya, 18.95.0, lililokuwa na msimbo hasidi ulioundwa kuiba data nyeti, kama vile manenosiri na tokeni za ufikiaji za GitHub, npm, AWS, HashiCorp Vault, Kubernetes, na 1Password. Toleo hasidi lilichapishwa kwenye Soko la Visual Studio mnamo Mei 19 saa 15:30 PM na kuondolewa saa 15:48 PM (saa za Moscow).
Pia ni muhimu kuzingatia makubaliano ya Mei 11 ya vituo viwili vya kazi vya wafanyakazi wa OpenAI ambao waliweka masasisho hasidi kwenye vifurushi vya TanStack NPM vyenye mdudu anayejizalisha. Matoleo hasidi yalichapishwa kutokana na shambulio dhidi ya mchakato wa kutolewa kwa GitHub Actions wa mradi wa TanStack. Kutokana na shughuli ya mdudu huyo, seva Washambuliaji walitumiwa vitambulisho na funguo za ufikiaji zilizokuwa kwenye kompyuta zilizoathiriwa za wafanyakazi wa OpenAI. Imebainika kuwa mifumo iliyoathiriwa ilikuwa na ufikiaji mdogo wa baadhi ya hazina za ndani za OpenAI, ambazo, miongoni mwa mambo mengine, zilihifadhi vyeti vya kusaini bidhaa kidijitali kwa ajili ya mifumo hiyo. Windows, macOS, iOS na AndroidKufuatia ugunduzi wa suala hilo, OpenAI ilianzisha mchakato wa kubadilisha vyeti vilivyotumika kusaini kidijitali ChatGPT Desktop, Codex App, Codex CLI, na Atlas.
Cha kufurahisha ni kwamba, hili si tukio la kwanza kama hilo kutokea katika OpenAI. Mifumo ya wafanyakazi pia iliambukizwa na programu hasidi mwezi Aprili baada ya kusakinisha toleo hasidi la kifurushi cha Axios NPM, ambacho washambuliaji waliweza kuchapisha kwa kuingilia sifa za msimamizi mkuu. Kufuatia tukio hili, ulinzi dhidi ya utegemezi hasidi ulitekelezwa kwenye kompyuta za watengenezaji, lakini haukusakinishwa kwenye mifumo ya wafanyakazi ambayo baadaye iliathiriwa kupitia TanStack.
Chanzo: opennet.ru
