Nella giornata di oggi, degli hacker hanno ottenuto l'accesso ai repository interni di GitHub sfruttando il computer di un dipendente tramite un'estensione infetta di VS Code.
In seguito all'incidente, sono emerse segnalazioni secondo cui un gruppo di hacker, utilizzando lo pseudonimo di TeamPCP, starebbe vendendo, a suo dire, circa 4.000 repository privati di GitHub su un forum di criminali informatici, con un prezzo minimo richiesto di 50.000 dollari.
Ecco cosa dice GitHub che è successo
GitHub ha confermato la violazione tramite diversi tweet pubblicati sul suo account X, in cui ha fornito dettagli su quanto appreso fino a quel momento. Secondo la piattaforma di hosting, l'attaccante ha ottenuto l'accesso al suo repository interno tramite un'estensione dannosa di VS Code installata su uno dei dispositivi dei suoi dipendenti.
GitHub afferma che, non appena si è accorta dell'attacco, ha prontamente eliminato il software dannoso dalla macchina infetta. In particolare, ha sottolineato che al momento non vi sono prove che siano stati compromessi dati dei clienti archiviati al di fuori dei suoi sistemi interni, ovvero presso aziende, organizzazioni o repository di singoli utenti.
Il servizio di hosting ha inoltre confermato di aver agito tempestivamente per ruotare le credenziali, spostando prima i dati sensibili di maggiore impatto. Esaminerà anche i log per verificare la presenza di eventuali attività sospette e fornirà ulteriori dettagli al termine delle indagini.
Nel frattempo, il ricercatore francese Sébastien Latombe ha segnalato un messaggio su una bacheca online di un gruppo di hacker che si fa chiamare "TeamPCP", rivendicando la responsabilità dell'attacco, contenente riferimenti a repository relativi a GitHub Actions, GitHub Enterprise, GitHub Copilot, Azure, CodeQL, servizi di fatturazione e autenticazione.
A quanto pare, non intendono chiedere un riscatto a GitHub, ma cercano un unico acquirente per i dati rubati, con un prezzo minimo richiesto di 50.000 dollari.
Tuttavia, va notato che non vi è stata alcuna conferma ufficiale del contenuto presente nell'elenco del forum da parte di GitHub o Microsoft, e qualsiasi affermazione fatta su tali siti di criminali informatici dovrebbe essere presa con le pinze, poiché i dati forniti in questi casi potrebbero essere obsoleti o esagerati per aumentarne il valore percepito.
Preoccupazioni per la sicurezza si diffondono nel settore delle criptovalute.
La reazione online alla violazione è stata immediata, con il co-fondatore di Binance Changpeng Zhao (CZ) che ha pubblicato un messaggio diretto agli sviluppatori di criptovalute:
"Se nel tuo codice sono presenti chiavi API, anche in repository privati, è giunto il momento di ricontrollarle e, se necessario, modificarle."
Le risposte hanno delineato un quadro fin troppo familiare di un problema diffuso nel settore. Il fondatore di Topaz DEX, Aaron Shames, ha definito "una cattiva pratica avere chiavi API in qualsiasi repository, privato o meno", pur riconoscendo l'avvertimento ricevuto.
Altri hanno fatto notare che per i costruttori che gestiscono centinaia di chiavi in progetti diversi, questa non è una soluzione semplice.
"L'intera pratica di archiviazione delle chiavi ha bisogno di un aggiornamento", ha scritto l'artista digitale Tuteth_.
Il commentatore di sicurezza Dhanush Nehru si è spinto oltre:
“Nessuno sa quali permessi possieda ogni estensione di VS Code. Il panorama delle minacce alla sicurezza informatica è spaventoso.”
La tempistica di questo incidente ha inoltre contribuito ad alimentare le preoccupazioni preesistenti sulla sicurezza delle criptovalute, a seguito di diversi attacchi hacker di alto profilo avvenuti questo mese, tra cui quello a Echo Protocol, in cui gli hacker sono riusciti a coniare eBTC per un valore di 76,7 milioni di dollari.
Quel particolare episodio si è verificato pochi giorni dopo altri due attacchi multimilionari perpetrati contro THORChain e il ponte Verus-Ethereum.
Questa serie di eventi ha riacceso il dibattito sulle questioni relative alla verifica del codice e alle vulnerabilità della catena di fornitura del software, ambito in cui Vitalik Buterin sostiene che, grazie all'intelligenza artificiale, la verifica formale può rendere il software più sicuro, dimostrandone matematicamente il comportamento.
L'articolo " Violazione dei repository interni di GitHub; CZ di Binance sollecita una rotazione urgente delle chiavi" è apparso per la prima volta su CryptoPotato .