20 maio GitHub confirma invasão e tem 3.800 repositórios internos comprometidos
O GitHub confirmou que sofreu uma invasão na segunda-feira, 19 de maio. Um invasor conseguiu acesso não autorizado a aproximadamente 3.800 repositórios internos da plataforma através de uma extensão maliciosa do Visual Studio Code, editor de código da Microsoft, instalada no dispositivo de um funcionário.
O vazamento foi detectado pela equipe de segurança do GitHub no mesmo dia da invasão, reinvidicada pelo grupo hacker TeamPCP. Eles afirmam ter obtido código-fonte interno e cerca de 4 mil repositórios privados da plataforma.
Desde o incidente, o grupo está tentando vender os dados no fórum Breached. Eles exigem um lance mínimo de US$ 50 mil e dizem que venderão para apenas um comprador.
Invasão do GitHub comprometeu repositórios através de extensão envenenada do VS Code.
O que é uma extensão envenenada
O ataque aconteceu por meio de uma extensão maliciosa do VS Code. Basicamente, extensões são complementos que adicionam funcionalidades ao editor de código – neste caso, a extensão continha código malicioso oculto. Quando o funcionário instalou a ferramenta, o invasor conseguiu acesso ao sistema interno.
O VS Code é um editor de código gratuito desenvolvido pela Microsoft. Ele é amplamente usado por desenvolvedores, muitas vezes em conjunto com o GitHub Copilot.
Resposta do GitHub após a invasão
O GitHub afirma ter contido a brecha de segurança. A empresa removeu a versão maliciosa da extensão e isolou o dispositivo comprometido imediatamente. Além disso, credenciais críticas foram trocadas nas primeiras 24 horas após a detecção, priorizando as de maior impacto.
GitHub rotacionou credenciais críticas após detectar acesso não autorizado a repositórios internos.
A plataforma continua analisando registros de sistema e monitorando possíveis atividades subsequentes. O GitHub prometeu publicar um relatório mais detalhado quando a investigação for concluída.
Quem é o grupo TeamPCP
O TeamPCP ganhou notoriedade recentemente por ataques em larga escala contra a cadeia de suprimentos de software. O grupo tem histórico de comprometer projetos open-source amplamente utilizados. Recentemente, o grupo também publicou o código-fonte do Shai-Hulud, um malware do tipo worm voltado para o ecossistema de desenvolvimento de software.
Entre os alvos anteriores estão o scanner de vulnerabilidades Trivy da Aqua Security e o analisador KICS da Checkmarx. Eles também comprometeram pacotes legítimos no Python Package Index, incluindo a biblioteca LiteLLM AI Gateway.
VS Code foi vetor do ataque que comprometeu 3.800 repositórios do GitHub.
O grupo usa técnicas como typosquatting e backdoors para roubar credenciais de nuvem, chaves SSH e configurações de Kubernetes. Isso porque o objetivo é coletar informações sensíveis de desenvolvimento de software de múltiplas organizações. O TeamPCP tem parcerias com grupos de extorsão e ransomware, como Lapsus$ e Vect ransomware.
O impacto potencial do vazamento
O GitHub é usado por praticamente toda a indústria de tecnologia. Startups, grandes empresas, projetos de infraestrutura crítica e sistemas corporativos dependem da plataforma. Repositórios privados geralmente contêm código-fonte proprietário, credenciais de acesso e arquitetura interna de sistemas. Assim, um vazamento desse tipo de informação pode expor vulnerabilidades e segredos corporativos.
O TeamPCP ameaçou liberar os dados gratuitamente caso não encontre um comprador. O grupo afirmou que essa pode ser sua última operação antes de se aposentar.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.