Взлом GitHub через поддельное расширение VS Code: доступ к 3800 репозиториям за 18 минут

18 мая 2024 года в маркетплейсе расширений VS Code на 18 минут появилась поддельная версия популярного расширения Nx Console (2,2 млн установок). За это время злоумышленники из группировки TeamPCP сумели через скомпрометированного сотрудника GitHub проникнуть во внутреннюю инфраструктуру платформы.

По данным ИБ-исследователей, атака позволила получить доступ примерно к 3800 внутренним репозиториям компании. Хакеры выставили базу на продажу за $50 000.

GitHub официально не подтвердил, что инцидент со взломом связан именно с вредоносным расширением. Однако специалисты по безопасности связывают два события по временной шкале и характерному почерку атаки.

Расширение Nx Console — инструмент для разработки на платформе Nx. Вредоносная версия была удалена вскоре после обнаружения, однако ущерб мог быть нанесён за короткое время присутствия в магазине.

Инцидент вновь поднимает вопрос безопасности маркетплейсов расширений для сред разработки. Ранее подобные атаки происходили в экосистемах VS Code, Chrome и других платформ.

На момент написания новости GitHub не опубликовал подробного отчёта о расследовании. TeamPCP ранее была известна атаками на крупные tech-компании.