GitHub 已發出警告,稱其內部程式碼庫遭到未經授權的存取。這次攻擊源自於一名員工的工作站被入侵,原因是該員工安裝了包含惡意程式碼的新版 VS Code 擴充功能。調查結束後將公佈更多細節。初步報告顯示,儲存在 GitHub 內部程式碼庫之外的使用者資訊並未外洩。這次攻擊僅限於洩漏 GitHub 旗下約 3800 個內部程式碼庫的資訊。
並未具體說明安裝了哪個 VS Code 外掛程式。在近期針對 VS Code 用戶的攻擊事件中,昨天涉及 Nx Console 插件的事件尤其引人注目,該插件擁有 220 萬次安裝量。攻擊者截獲了 Nx Console 一位開發者的 GitHub 帳戶登入訊息,並發布了包含惡意程式碼的新版本 18.95.0,該程式碼旨在竊取敏感數據,例如 GitHub、npm、AWS、HashiCorp Vault、Kubernetes 和 1Password 的密碼和存取權令牌。該惡意版本於 5 月 19 日下午 3:30 發佈到 Visual Studio Marketplace,並於下午 3:48(莫斯科時間)移除。
值得注意的是,5月11日,兩台OpenAI員工工作站遭到入侵,安裝了針對TanStack NPM軟體套件的惡意更新,其中包含一種可自我傳播的蠕蟲病毒。這些惡意版本是由於TanStack專案GitHub Actions發布流程受到攻擊而洩漏的。蠕蟲病毒的活動導致儲存在受感染OpenAI員工電腦上的憑證和存取金鑰被傳送到攻擊者的伺服器。據悉,受感染的系統對一些OpenAI內部程式碼庫擁有有限的存取權限,這些程式碼庫儲存著平台產品數位簽章的憑證等內容。 Windows, macOSiOS 和 Android發現問題後,OpenAI 啟動了更換用於對 ChatGPT Desktop、Codex App、Codex CLI 和 Atlas 進行數位簽章的憑證的流程。
值得注意的是,這並非OpenAI首次發生此類事件。今年4月,員工的系統也曾因安裝了惡意版本的Axios NPM軟體套件而感染惡意軟體。攻擊者透過截獲首席維護者的憑證,成功發布了該軟體包。事件發生後,OpenAI在開發人員的電腦上部署了針對惡意依賴項的防護措施,但並未在隨後透過TanStack攻擊而遭受損失的員工係統上安裝該措施。
來源: opennet.ru
