GitHub xác nhận bị tấn công: Hơn 3.800 kho lưu trữ nội bộ bị rò rỉ qua thiết bị nhân viên
GitHub đang tiến hành điều tra sau khi nhóm tin tặc TeamPCP rao bán mã nguồn và dữ liệu nội bộ của nền tảng này. Nguyên nhân được xác định bắt nguồn từ một tiện ích mở rộng Visual Studio Code độc hại...
GitHub vừa xác nhận đang điều tra một vụ truy cập trái phép vào các kho lưu trữ nội bộ sau khi nhóm tin tặc khét tiếng TeamPCP rao bán mã nguồn và dữ liệu tổ chức của nền tảng này trên một diễn đàn tội phạm mạng. Nhóm này yêu cầu mức giá tối thiểu 50.000 USD cho khoảng 4.000 kho lưu trữ bị đánh cắp.
Theo thông tin từ GitHub, sự cố bắt nguồn từ việc một nhân viên đã cài đặt một tiện ích mở rộng (extension) độc hại cho Microsoft Visual Studio Code. Kẻ tấn công đã lợi dụng lỗ hổng này để xâm nhập vào thiết bị, từ đó chiếm đoạt các thông tin xác thực quan trọng. GitHub khẳng định hiện chưa có bằng chứng cho thấy dữ liệu khách hàng bên ngoài các kho lưu trữ nội bộ bị ảnh hưởng, tuy nhiên họ đã thực hiện xoay vòng các credential quan trọng như một biện pháp giảm thiểu rủi ro.
Đáng chú ý, TeamPCP không chỉ nhắm vào GitHub mà còn thực hiện chiến dịch malware tự lan truyền mang tên “Mini Shai-Hulud”. Chiến dịch này đã làm lây nhiễm gói thư viện Python durabletask trên PyPI. Kẻ tấn công đã chiếm đoạt tài khoản GitHub thông qua các cuộc tấn công trước đó, trích xuất các secret để lấy quyền truy cập vào token PyPI và phát tán mã độc trực tiếp.
Mã độc này hoạt động như một công cụ infostealer toàn diện trên môi trường Linux, có khả năng thu thập thông tin từ các nhà cung cấp cloud, trình quản lý mật khẩu (1Password, Bitwarden), SSH keys, Docker credentials và lịch sử shell. Đặc biệt, malware này có khả năng tự lan truyền trong môi trường AWS thông qua SSM hoặc trong Kubernetes thông qua kubectl exec.
Một kỹ thuật tinh vi khác được ghi nhận là việc sử dụng cơ chế “FIRESCALE”, cho phép malware tìm kiếm các địa chỉ máy chủ điều khiển (C2) dự phòng thông qua các commit message công khai trên GitHub. Điều này giúp kẻ tấn công duy trì quyền kiểm soát ngay cả khi domain chính bị vô hiệu hóa.
Hiện tại, tình hình trở nên phức tạp hơn khi nhóm tội phạm mạng LAPSUS$ được cho là đã hợp tác với TeamPCP để rao bán gói dữ liệu GitHub với giá 95.000 USD. Các kho lưu trữ bị rò rỉ được cho là bao gồm nhiều dự án quan trọng như GitHub Actions, Copilot, CodeQL, Codespaces và Dependabot. Các chuyên gia an ninh mạng khuyến cáo bất kỳ hệ thống hoặc pipeline nào đã cài đặt các phiên bản thư viện bị nhiễm độc cần được coi là đã bị xâm nhập hoàn toàn và cần thực hiện các biện pháp ứng phó sự cố ngay lập tức.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.