Логотип GitHub около текста Взлом GitHub
Автор:

GitHub подтвердил взлом своих внутренних систем после того, как группа TeamPCP заявила о краже примерно 4000 приватных репозиториев компании и потребовала $50 тысяч. По словам GitHub, признаков компрометации клиентских репозиториев сейчас нет, но история неприятная даже без этого: если атакующие действительно утащили внутренний код, речь идёт не о витринных проектах, а о внутренней кухне крупнейшей платформы для разработки.

Схема взлома звучит до боли знакомо. Доступ получили через устройство сотрудника, где стояло заражённое расширение для Visual Studio Code. Это тот самый класс атак, который компании любят описывать как «изолированный инцидент», хотя по факту он бьёт в самое слабое место современной разработки: сторонние плагины, токены и доверие ко всему, что ставится в IDE «для удобства».

Как взлом GitHub связан с атаками на инструменты разработчиков

Продажа архива за $50 тысяч выглядит почти дёшево. Для конкурирующей криминальной группы, брокера уязвимостей или компании с очень плохими манерами это небольшая сумма, если внутри есть служебные инструменты, пайплайны сборки или документация по внутренней инфраструктуре. Угроза «не купят, выложим бесплатно» здесь тоже стандартная: заработать хоть что-то, а заодно устроить публичный цирк.

У GitHub уже были проблемы такого класса. В 2022 году компания раскрывала кампанию с кражей OAuth-токенов, из-за которой пострадали десятки организаций, включая проекты, связанные с npm. Отдельно есть старый и скучный факт: вредоносные расширения для VS Code и других IDE регулярно проскакивают в магазины плагинов, потому что разработчики по привычке доверяют рейтингу и названию больше, чем разрешениям и издателю.

Самый неприятный вопрос не в том, что именно унесли, а в том, что можно восстановить по этим репозиториям. Внутренний код редко хранит только код. Там часто лежат схемы интеграций, служебные утилиты, тестовые конфиги и куски документации, которые помогают готовить следующую атаку уже точнее и дешевле.

Значок синего цвета с белой надписью iP

Если утечка подтвердится в полном объёме, GitHub придётся не только чистить доступы и токены, но и пересматривать доверие к расширениям в рабочих машинах сотрудников. У Microsoft на это уйдёт меньше недели, а на объяснение последствий разработчикам может уйти весь квартал.

А вот ещё материалы по теме:
Артур Берг
Старший новостной редактор, специализирующийся на оперативной аналитике рынка электроники и игровых систем. За время работы опубликовал более 2800 статей, посвященных новинкам мобильной индустрии, носимым устройствам и развитию облачных технологий. Подробно освещает события крупнейших международных выставок, таких как IFA, и анализирует стратегии ведущих технологических брендов на российском и мировом рынках.

Leave a reply