Як повідомляє Hacker News із посиланням на GitHub, наразі немає доказів того, що інцидент зачепив дані клієнтів, які зберігаються поза внутрішніми репозиторіями платформи. Проте компанія активно моніторить свою інфраструктуру та вже почала відкликати скомпрометовані облікові дані.
Читайте также: SIM-swap: як шахраї крадуть ваш номер телефону — і разом із ним доступ до банку. Що робити, щоб захиститися
Причиною витоку став хакнутий комп’ютер одного зі співробітників через заражене шкідливим кодом розширення для середовища розробки Microsoft Visual Studio Code. Хоча GitHub офіційно не називає це розширення, експерти пов’язують інцидент із нещодавньою компрометацією Nx Console, де зловмисники впровадили інструмент для викрадення облікових даних розробників.
«Наша поточна оцінка полягає в тому, що ця активність стосувалася витоку лише внутрішніх репозиторіїв GitHub. Поточні заяви зловмисника про приблизно 3800 репозиторії загалом узгоджуються з результатами нашого розслідування», — повідомили в GitHub.
Самі хакери з TeamPCP заявили на кіберзлочинному форумі, що не планують шантажувати GitHub чи вимагати викуп: «Нам байдуже до вимагання грошей у GitHub. Один покупець — і ми знищимо дані на нашому боці. Схоже, ми незабаром підемо на пенсію, тож якщо покупець не знайдеться, ми оприлюднимо їх безплатно».
Цей інцидент є частиною ширшої та небезпечної кампанії TeamPCP, спрямованої на ланцюги постачання програмного забезпечення. Зокрема, угруповання зламало офіційний Python-клієнт Microsoft для фреймворку Durable Task (пакет durabletask на PyPI), який завантажується понад 417 000 разів на місяць. Отримавши токен доступу через раніше вкрадені секрети розробників, хакери завантажили шкідливі версії пакета, що автоматично запускають шкідливе ПЗ під час імпорту.
За даними дослідників кібербезпеки з компаній Wiz та SafeDep, цей софт працює на Linux-системах і націлений на викрадення паролів із 1Password та Bitwarden, ключів SSH, хмарних облікових даних AWS і Kubernetes. Щобільше, ПЗ містить специфічну деструктивну функцію: у разі виявлення ізраїльської або іранської локалі (але водночас ігнорує російськомовні системи) в налаштуваннях системи з ймовірністю 1 до 6 вірус відтворить аудіофайл, після чого повністю знищить усі дані на диску.
Читайте также: Где Сейчас Яценюк И Его Семья: Текущая Жизнь Арсения Яценюка и Родственников