NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Włamanie do GitHuba. Zainfekowane rozszerzenie do VS Code i dostęp do ~3800 wewnętrznych repozytoriów
W zasadzie wszystko wiecie już z tytułu. GitHub informuje o trwającym incydencie, dotykającym ich wielu wewnętrznych repozytoriów. Na razie wiemy tyle:
Jeden z programistów GitHuba zainstalował przypadkiem zainfekowane rozszerzenie do VS Code. Atakujący wykorzystali ten dostęp i zaczęli buszować po wewnętrznych repo GitHuba.
GitHub w ogłoszonym właśnie alercie, zaznacza że potwierdza dostęp do repozytoriów – zgodnie z tym co ogłosili atakujący. Jednocześnie odseparowali zainfekowany komputer, rotują też różne krytyczne dane dostępowe (np. tokeny API), do których atakujący mogli uzyskać dostęp. Jest tego zapewne dużo, bo rotacja zaczęła się od dostępów klasy “high-impact”.
GitHub dodaje, że analizuje swoją infrastrukturę pod kątem ewentualnych dalszych działań atakujących i realizuje procedury incident-response:
We continue to analyze logs, validate secret rotation, and monitor for any follow-on activity. We will take additional action as the investigation warrants.
Rekomendacja dla programistów – pamiętajcie, żeby nie instalować losowych rozszerzeń do Waszych narzędzi (np. VS Code). Czasem pierwszy wygooglany link prowadzi do scamu / infekcji…
Firmy – uświadomcie swoich programistów o takim zagrożeniu i zapewnijcie odpowiednie procedury w temacie (np. każdorazowe sprawdzenie rozszerzenia przez ekipę itsec, lista dozwolonych rozszerzeń).
Autoreklama. Wbijaj na bezpłatne szkolenie sekuraka o wpadkach OSINT/OPSEC – z tym linkiem bilet z certyfikatem gratis.
~ms
O jakim rozszerzeniu do VSCode mowa?
Da się jakoś sprawdzić czy rozserzenie jest złośliwe bez rycia w kodzie? Są jakieś skanery?
Najlepiej załóż, że każde jest złośliwe, bo nigdy nie wiesz kiedy ktoś przejmie komuś konto i wypuści złośliwą wersje, którą sobie automatycznie lub manualnie zainstalujesz. Darmowy edytor = nie ma hajsu na sprawdzanie każdej wersji każdego rozszerzenia. (choć myślę, że nawet jakby hajs był to i tak ryzyko nie będzie zerowe) Najlepiej nie instaluj kompletnie żadnych wtyczek, albo pomyśl o krok dalej – co jak już ktoś jest na Twoim kompie.
Zaszyfruj klucze SSH, przenieś wszystkie istotne hasełka z przeglądarki (no chyba że serio ufasz, że jest dobrze spięta z bezpiecznym managerem haseł w systemie) do KeePassa lub czegoś podobnego. Zapytaj Chata co jeszcze możesz zabezpieczyć.
Właśnie dla tego warto zastanowić się nad podejsciem do publicznych usług, mają swoją specyfikę i ostatnio zawodzą
@pceuropa wolisz nieświadomość ?
W zamknietym rozwiazaniu pewnie nigdy bys sie nie dowiedział
To musiał być bardzo ważny programista, mający dostęp do wszystkiego, skoro rotują dostępy całego GitHuba…
A gdzie least privilege i takie tam…
Z tego powodu zmieniłem serwer na Gitea – własne hostowane repozytoria, bo widać że dużym firmą już nie można ufać..
@pcAI zmień też słownik na taki poprawny.
Nie boj, nie boj, tez Ci zhakuja ;-)