GitHub potwierdził włamanie: atakujący uzyskali dostęp do około 3800 wewnętrznych repozytoriów po tym, jak pracownik zainstalował złośliwe rozszerzenie VS Code.
- Wektor: zainfekowane rozszerzenie VS Code na stacji roboczej pracownika GitHuba.
- Skala: około 3800 wewnętrznych repozytoriów w zasięgu, plus możliwość dalszego ruchu w systemach wewnętrznych.
- Reakcja: izolacja skompromitowanej maszyny, rotacja krytycznych tokenów API, monitoring infrastruktury pod kątem aktywności atakującego.
- Wniosek dla zespołów: sklep z rozszerzeniami to realna powierzchnia ataku. Warto wymuszać allowlistę zatwierdzonych narzędzi i traktować IDE jak kolejną zależność produkcyjną.
Klasyczny supply-chain: atak nie idzie od razu w produkcję, tylko w laptop dewelopera. Jak Twój zespół weryfikuje rozszerzenia IDE przed instalacją?
Źródło: sekurak.pl