Microsofts GitHub heeft zijn tot nu toe grootste beveiligingsinbreuk bevestigd. Aanvallers wisten code te exfiltreren uit ongeveer 3.800 interne repositories van het bedrijf. Het incident kwam aan het licht op 19 mei, toen GitHub melding maakte van "ongeautoriseerde toegang" en later bevestigde dat een medewerkerapparaat was gecompromitteerd door een vergiftigde Visual Studio Code-extensie.

GitHub gaf aan dat de kwaadaardige extensie was verwijderd, het getroffen apparaat geïsoleerd en dat direct incidentrespons was gestart. Volgens het bedrijf betrof de activiteit alleen het uitlekken van interne repositories. De aanvallers claimden ongeveer 3.800 repositories te hebben buitgemaakt, wat overeenkomt met de voorlopige bevindingen van GitHub. Het platform onderzoekt nog steeds de logs, valideert het roteren van geheimen en houdt de situatie nauwlettend in de gaten. Een volledig incidentrapport wordt gepubliceerd zodra het onderzoek is afgerond.

De dreigingsgroep TeamPCP claimde eerder verantwoordelijk te zijn voor de inbraak en stelde dat zij 4.000 repositories hadden bemachtigd. Ze dreigden de gestolen code openbaar te maken als er geen koper werd gevonden die minimaal 50.000 dollar wilde betalen. Ter onderbouwing plaatsten zij een lijst van de getroffen repositories op het LimeWire-platform. Volgens de groep gaat het niet om afpersing, maar om een verkooppoging met de waarschuwing dat de data anders gratis wordt gelekt.

GitHub maakte niet bekend welke VS Code-extensie de aanval mogelijk maakte, maar beveiligingsbedrijf Akido Security vermoedt een verband met een andere aanval van TeamPCP op 19 mei. Daarbij werd de populaire Nx Console VS Code-extensie voorzien van een achterdeur. De kwaadaardige versie verzamelde stilletjes inloggegevens zodra een ontwikkelaar een workspace opende. De extensie werd binnen 11 minuten uit de markt gehaald, maar duizenden ontwikkelaars waren al getroffen. De kwetsbare versie 18.95.0 had een blootstellingsperiode van 18 minuten, waarna gebruikers werden geadviseerd te updaten naar versie 18.100.0, zoals vermeld in de security advisory van Nx Console.

De aanvallers richtten zich op het stelen van credentials en bestandslocaties gerelateerd aan Kubernetes, npm, AWS, 1Password, private keys en GitHub. Dezelfde campagne op 19 mei leidde ook tot een grote supply chain-aanval op de npm open-source registry, waarbij in een korte periode van 22 minuten 637 kwaadaardige versies werden gepubliceerd binnen de namespace van de AntV enterprise data visualization tool. Dit volgde op een eerdere aanval op 11 mei gericht op het TanStack Router-pakket, waarbij 170 malware-infecties werden verspreid voordat de aanval werd gestopt.

Volgens Akido Security zijn dit geen verdachte pakketten van onbekende uitgevers, maar tools die ontwikkelaars zonder twijfel gebruiken vanwege het hoge aantal installaties, het verificatiebadge van de uitgever en de legitimiteit van de marketplace. Dit maakt de impact van de compromittering groot, omdat ontwikkelaars minder snel waakzaam zijn bij officiële bronnen. TeamPCP gebruikt een eenvoudige tactiek: ze misbruiken zwakheden in platformupdates of gestolen credentials om snelle wormachtige aanvallen uit te voeren die zich zo diep mogelijk in organisaties nestelen voordat verdedigers kunnen ingrijpen. Het aantal incidenten neemt toe, waaronder een aanval in maart op de Trivy vulnerability scanner, zoals beschreven in InfoWorld.