GitHub a imputé le dernier d’une liste croissante de hacks revendiqués par TeamPCP à une extension VS Code empoisonnée.
Le GitHub de Microsoft a subi ce qui semble être la plus grande faille de sécurité jamais enregistrée après avoir confirmé que des attaquants avaient exfiltré le code d’environ 3 800 référentiels internes de l’entreprise.
La nouvelle de l’incident est apparue pour la première fois le 19 mai, lorsque GitHub a déclaré qu’il enquêtait sur un « accès non autorisé ». Quelques heures plus tard, le compte X de l’entreprise a confirmé le pire :
« Hier, nous avons détecté et contenu un compromis sur l’appareil d’un employé impliquant une extension de code VS (Visual Studio) empoisonnée. Nous avons supprimé la version de l’extension malveillante, isolé le point final et commencé immédiatement la réponse aux incidents », a déclaré GitHub.
« Notre évaluation actuelle est que l’activité impliquait uniquement l’exfiltration des référentiels internes à GitHub. Les affirmations actuelles de l’attaquant concernant environ 3 800 référentiels sont cohérentes avec notre enquête jusqu’à présent. »
GitHub a ajouté : « Nous continuons à analyser les journaux, à valider la rotation secrète et à surveiller toute activité ultérieure. Nous prendrons des mesures supplémentaires si l’enquête le justifie. » L’entreprise a promis de publier un rapport d’incident complet une fois ses enquêtes terminées.
Ce chiffre correspond à une affirmation antérieure du groupe de menace TeamPCP selon laquelle il avait violé 4 000 pensions, avec une menace de fuite du code volé si aucun acheteur prêt à payer au moins « 50 000 » n’était trouvé. Le groupe a étayé ses affirmations en publiant une liste des référentiels violés sur la plateforme de partage de contenu LimeWire.
« Comme toujours, ce n’est pas une rançon, nous ne nous soucions pas d’extorquer Github, 1 acheteur et nous déchiquetons les données de notre côté, il semble que notre retraite soit proche, donc si aucun acheteur n’est trouvé, nous les divulguerons gratuitement », a déclaré le groupe.
GitHub n’a pas nommé l’extension VS Code empoisonnée qui a conduit à la compromission, mais la société de sécurité Akido Security a émis l’hypothèse qu’il pourrait y avoir un lien avec une attaque TeamPCP distincte, également le 19 mai, qui a conduit à la porte dérobée de l’extension populaire Nx Console VS Code.
« La version malveillante collectait silencieusement les informations d’identification à partir du moment où un développeur ouvrait un espace de travail. La communauté, y compris Aikido Intel, l’a rapidement détectée, la version étant extraite en 11 minutes », a écrit Shaun Brown, responsable du marketing des produits techniques chez Akido.
L’avis de Nx Console fixe la fenêtre d’exposition de la version 18.95.0 compromise à 18 minutes, conseillant aux développeurs de mettre à jour vers la version 18.100.0. Selon les analyses internes des responsables, des milliers de développeurs ont été surpris par la version infectée. Les chemins de fichiers ciblés par les attaquants pour voler les informations d’identification comprenaient Kubernetes, npm, AWS, 1Password, les clés privées et GitHub.
La même campagne du 19 mai a conduit à une compromission majeure de la chaîne d’approvisionnement du registre open source du gestionnaire de paquets de nœuds (npm), ce qui a conduit les attaquants à publier 637 versions malveillantes dans l’espace de noms de l’outil de visualisation de données d’entreprise AntV en une rafale de 22 minutes.
Cela s’est produit après qu’une attaque du 11 mai ciblant l’écosystème de packages TanStack Router ait réussi à diffuser 170 versions infectées par des logiciels malveillants avant d’être stoppée.
« Il ne s’agit pas de packages et d’extensions sommaires provenant d’éditeurs inconnus. Ce sont des outils que les développeurs utilisent sans y réfléchir à deux fois, précisément parce qu’ils ont le nombre d’installations, le badge d’éditeur vérifié et la légitimité du marché qui signalent la sécurité », a déclaré Brown.
« Un nombre d’installations élevé signifie un compromis de grande valeur. Un éditeur vérifié signifie que les développeurs n’hésitent pas. Le marché officiel signifie que personne ne pense à vérifier. »
Le mode opératoire de TeamPCP est simple : exploiter les faiblesses de la mise à jour de la plate-forme ou les informations d’identification volées pour exécuter des attaques de vers courtes et pointues qui s’enfoncent aussi loin que possible dans les entreprises utilisant des logiciels open source avant que les défenseurs ne puissent réagir.
Alors que le nombre d’incidents commence à augmenter – y compris une attaque TeamPCP en mars contre le scanner de vulnérabilités Trivy et une attaque distincte contre la bibliothèque client HTTP JavaScript npm Axios – il est évident que la stratégie consistant à cibler les outils de développement open source se transforme rapidement en le prochain grand casse-tête en matière de sécurité.
