A GitHub megerősítette, hogy támadás érte a saját belső rendszereit, miután az egyik alkalmazottja egy rosszindulatú Visual Studio Code-bővítményt telepített. A cég jelenlegi vizsgálata szerint nagyjából 3800 belső kódtárból szivároghattak ki adatok, vagyis nem felhasználói jelszavakról vagy nyilvános szolgáltatásleállásról van szó, hanem a GitHub saját, belső repositoryjait érintő incidensről. Ez önmagában is elég kellemetlen egy olyan platformnál, amelyre ma már a fejlesztői világ jelentős része épít.
A GitHub közlése szerint a támadást észlelték és megfékezték, az érintett gépet leválasztották, a rosszindulatú bővítményt pedig eltávolították a VS Code Marketplace-ről. A vállalat azt állítja, jelenleg nincs bizonyíték arra, hogy az érintett belső kódtárakon kívül tárolt ügyféladatok is veszélybe kerültek volna, de a vizsgálat még tart. Ez fontos különbség, mert a mostani ügy nem azt jelenti, hogy bárki GitHub-fiókja automatikusan veszélyben lenne, hanem azt, hogy egy kompromittált dolgozói eszközön keresztül belső forráskódokhoz férhettek hozzá.
A támadásért a TeamPCP nevű csoport vállalta a felelősséget, amely egy kiberbűnözői fórumon azt állította, hogy nagyjából négyezer privát kódtárhoz jutott hozzá, és legalább 50 ezer dollárt kér az ellopott adatokért. A GitHub nem nevezte meg hivatalosan a támadókat, de annyit elismert, hogy a 3800 körüli szám nagyjából egybevág az eddigi belső vizsgálat eredményével. A csoport neve azért is lehet ismerős a biztonsági szakmában, mert korábban fejlesztői ellátási láncokat célzó támadásokkal is összefüggésbe hozták.
Az ügy különösen kellemetlen fényt vet a fejlesztői bővítmények világára. A VS Code-bővítmények alapvetően arra szolgálnak, hogy kényelmesebbé tegyék a munkát, új nyelveket, eszközöket, kiegészítő funkciókat adjanak a szerkesztőhöz, csakhogy pont emiatt érzékeny környezetben futnak. Egy fejlesztő gépén gyakran ott vannak hozzáférési kulcsok, belső projektek, konfigurációs fájlok és olyan adatok, amelyekhez egy átlagos alkalmazásnak sosem lenne szabad hozzáférnie. Ha egy bővítmény rosszindulatú kódot tartalmaz, akkor nem csak egy kényelmi eszköz hibásodik meg, hanem a teljes fejlesztői környezet válhat támadási felületté.
Nem ez az első eset, hogy rosszindulatú VS Code-bővítmények bukkannak fel hivatalos piactereken. Az elmúlt években több olyan kiegészítőt is eltávolítottak, amely fejlesztői hitelesítő adatokat próbált megszerezni, kriptobányászt telepített, vagy más módon élt vissza a felhasználók bizalmával. A GitHub-incidens viszont azért kapott ekkora figyelmet, mert most nem egy ismeretlen fejlesztő vagy kisebb cég lett az áldozat, hanem maga az a platform, amelyen a modern szoftverfejlesztés elképesztő mennyiségű kódja, projektje és vállalati munkafolyamata fut.
A GitHub azt ígéri, hogy a vizsgálat előrehaladtával további részleteket oszt meg, de a történet tanulsága már most elég világos: a fejlesztői eszközök biztonsága nem mellékes informatikai apróság, hanem az egyik legfontosabb védelmi vonal. Egyetlen rosszul ellenőrzött bővítmény is elég lehet ahhoz, hogy belső kódok kerüljenek illetéktelen kezekbe, és ez a GitHub esetében most nem elméleti kockázatként, hanem nagyon is valós incidensként jelent meg.
