GitHub bestätigt Datenleck interner Repositories durch kompromittiertes Mitarbeiter-Gerät

Die Untersuchung, dass der Angreifer Daten ausschließlich aus internen GitHub-Repositories exfiltriert hat; bisher ist kein Einfluss auf öffentliche oder ätigt worden. Die Firma erklärte, dass die Behauptungen eines Bedrohungsakteurs, etwa 3.800 Repositories zugegriffen zu haben, „in der richtigen Richtung" mit ihren bisherigen Erkenntnissen übereinstimmen.

Ein bekannter Bedrohungsakteur, der sich als TeamPCP ausgeben hat, hat die Verantwortung für den Vorfall übernommen und behauptet, proprietäre Organisationsdaten sowie Quellcode entwendet zu haben. Die Gruppe soll das gestohlene Datenset auf unterirdischen Cyberkriminalitätsforen zum Verkauf anbieten und Angebote über 50.000 US-Dollar fordern.

In ihren eigenen Angaben werden rund 4.000 private Repositories genannt, die direkt mit der Hauptplattform üpft sind. GitHub hat sich schnell bewegt, um weitere Expositionen nach der ersten Erkennung zu minimieren.

Zu den wichtigsten Maßnahmen zur Eindämmung gehören: Das Overnight-Rotieren kritischer Geheimnisse und Zugangsdaten unter Priorisierung der hochwirksamen Zugangsdaten Die Isolierung des kompromittierten Endpunkts des betroffenen Mitarbeiters Das Entfernen der bösartigen Version der Code-Erweiterung aus dem Umlauf Die Einleitung einer kontinuierlichen Log-Analyse zur Erkennung möglicher nachfolgender Angreiferaktivitäten GitHub-Quellcode-Vorfall – TeamPCP behauptet Zugang zum internen Quellcode DirtyDecrypt Linux-Kernel-Schwachstelle: Proof-of-Concept-Exploit-Code veröffentlicht