GitHub-Innere Repositories durch manipulierte VS-Code-Erweiterung kompromittiert

GitHub entfernte die schädliche Version der Erweiterung umgehend vom Marketplace, isolierte das betroffene Endgerät und leitete umfassende Maßnahmen zur Incident-Response ein. Der Akteur hinter dem Angriff hat die Verantwortung für die Ausspionierung 3.800 internen Repositories übernommen.

GitHub bestätigte, dass diese Zahl mit seiner laufenden Untersuchung „in der richtigen Richtung übereinstimmt", was sie zu einem der bedeutendsten Angriffe auf eine DevOps-Plattform in jüngerer Zeit macht. Gemäß der aktuellen Einschätzung änkte sich der Vorfall ausschließlich auf interne GitHub-Repositorien.

Kritisch ist, dass das Unternehmen keine Hinweise auf Auswirkungen auf die kundenorientierte Infrastruktur gefunden hat, einschließlich, Organisationen oder privaten Repositorien, die auf der Plattform gehostet werden.

GitHub erkannte jedoch an, dass einige

GitHub erkannte jedoch an, dass einige interne Repositorien kundenbezogene Informationen enthalten, wie beispielsweise Auszüge aus Support-Ticket-Interaktionen, was die Möglichkeit einer begrenzten sekundären Exposition aufwirft.

Das Unternehmen hat zugesagt, betroffene Kunden direkt über etablierte Incident-Response- und Offenlegungskanäle zu informieren, falls eine Beeinträchtigung ätigt wird.

Rahmen eines schnellen Eindämmungsversuchs begann das Sicherheitsteam mit dem Wechsel kritischer Geheimnisse und setzte dies bis Dienstag fort, wobei Priorität den Zugangsdaten mit dem größten potenziellen Schadensradius eingeräumt wurde.

Das Unternehmen setzt sich weiterhin wie folgt fort: Analyse der Protokolle auf Anzeichen für lateralen Bewegung oder nachfolgende Aktivitäten Überprüfung, dass alle gewechselten Geheimnisse vollständig ungültig gemacht wurden Überwachung der Plattforminfrastruktur auf Persistenzmechanismen oder sekundäre Zugriffsversuche Neue Microsoft Defender 0-Tage, die aktiv Wilden ausgenutzt werden Neuer NGINX 0-Tage RCE „nginx-poolslip", der Millionen