GitHub confirmó el pasado 19 de mayo que aproximadamente 3,800 repositorios internos se vieron comprometidos después de que uno de sus empleados instalara una extensión maliciosa para VS Code.
La compañía ya ha retirado la extensión troyanizada, cuyo nombre no se ha revelado, de VS Code Marketplace y ha asegurado el dispositivo afectado.
“Ayer detectamos y contuvimos una intrusión en el dispositivo de un empleado mediante una extensión maliciosa para VS Code. Eliminamos la versión maliciosa de la extensión, aislamos el dispositivo y comenzamos la respuesta al incidente de inmediato”, declaró la compañía.
“Nuestra evaluación actual indica que la actividad consistió únicamente en la extracción de datos de repositorios internos de GitHub. Las afirmaciones del atacante sobre los aproximadamente 3,800 repositorios comprometidos coinciden con nuestra investigación hasta el momento”.
Esto se produce después de que GitHub comunicó a BleepingComputer que estaba investigando denuncias de acceso no autorizado a sus repositorios internos y que no tenía pruebas de que los datos de los clientes almacenados fuera de los repositorios afectados se hubieran visto comprometidos.
GitHub vinculó esta brecha de seguridad con el ataque a la cadena de suministro de TanStack npm y afirma que el empleado instaló una versión maliciosa de la extensión Nx Console.
En una publicación de blog, el CISO de GitHub, Alexis Wales, afirmó que la brecha de seguridad involucró una versión maliciosa de Nx Console, la extensión oficial del marketplace de Visual Studio Code para Nx, que permite a los desarrolladores administrar grandes repositorios y bases de código de múltiples proyectos sin depender completamente de los complejos comandos de la interfaz de línea de comandos de la terminal.
El grupo de hackers TeamPCP afirmó haber accedido al código fuente de GitHub y a “~4,000 repositorios de código privado” en el foro de ciberdelincuencia Breached el martes, exigiendo al menos $0.05 mdd por los datos robados.
“Como siempre, esto no es un rescate. No nos interesa extorsionar a GitHub. Si encontramos un comprador, destruiremos los datos por nuestra cuenta. Parece que nos jubilaremos pronto, así que si no encontramos comprador, los filtraremos gratis”, declararon los ciberdelincuentes. “Si les interesa, envíen sus ofertas a la dirección de correo electrónico que aparece a continuación. No nos interesan ofertas inferiores a $0.05 mdd; la mejor oferta se la llevará”.
TeamPCP ya había sido vinculado a ataques a la cadena de suministro masivos dirigidos a plataformas de código para desarrolladores, como GitHub, PyPI, NPM y Docker, y, más recientemente, a la campaña de la cadena de suministro “Mini Shai-Hulud” (que también afectó a dos empleados de OpenAI).
Las extensiones de VS Code son complementos que se pueden instalar desde VS Code Marketplace (la tienda oficial de complementos para el editor de código de Microsoft) para añadir funciones o integrar herramientas al editor.
Esta no es la primera vez que se detecta una extensión de VS Code troyanizada en el Marketplace, ya que en los últimos años se han utilizado varias extensiones maliciosas con millones de instalaciones para robar credenciales de desarrolladores y otros datos confidenciales.
Por ejemplo, el año pasado, se retiraron extensiones de VS Code con 9 millones de instalaciones debido a riesgos de ciberseguridad en desarrollo de software, y otras 10, haciéndose pasar por herramientas de desarrollo legítimas, infectaron a los usuarios con el minero de criptomonedas XMRig.
Más adelante ese mismo año, una extensión maliciosa con capacidades básicas de ransomware se coló en el Marketplace de VS Code después de que un grupo de ciberdelincuentes llamado WhiteCobra lo inundara con 24 extensiones para robar criptomonedas.
Más recientemente, en enero, dos extensiones maliciosas anunciadas como asistentes de programación basados en AI, con 1.5 millones de instalaciones, extrajeron datos de sistemas de desarrolladores comprometidos a servidores en China. La plataforma en la nube de GitHub es utilizada actualmente por más de 4 millones de organizaciones (incluido el 90 % de las empresas Fortune 100) y más de 180 millones de desarrolladores que contribuyen a más de 420 millones de seguridad en repositorios de código.
