GitHub ยืนยัน Repository ภายในกว่า 3,800 รายการถูกเจาะผ่าน VS Code Extension อันตราย

GitHub ยืนยันว่า Internal Repository ราว 3,800 รายการถูกเข้าถึงโดยไม่ได้รับอนุญาต หลังพนักงานติดตั้ง VS Code Extension ที่ฝัง malware จาก VS Code Marketplace

GitHub ออกแถลงการณ์ยืนยันว่าตรวจพบและควบคุมเหตุการณ์ compromise บนอุปกรณ์ของพนักงานได้แล้ว โดยได้ลบ Extension อันตรายออกจาก VS Code Marketplace พร้อม isolate อุปกรณ์ที่ได้รับผลกระทบ และเริ่มกระบวนการ Incident Response ทันที จากการตรวจสอบเบื้องต้นพบว่าเหตุการณ์ดังกล่าวเกี่ยวข้องกับการ exfiltrate ข้อมูลจาก Internal Repository ของ GitHub เท่านั้น ยังไม่พบหลักฐานว่าข้อมูลของลูกค้าที่จัดเก็บนอก Repository ที่ได้รับผลกระทบถูกเข้าถึง

กลุ่มแฮกเกอร์ TeamPCP อ้างความรับผิดชอบต่อเหตุการณ์นี้ โดยประกาศบนฟอรัม Breached ว่าสามารถเข้าถึง Source Code และ Private Repository ราว 4,000 รายการของ GitHub พร้อมเปิดขายข้อมูลในราคาไม่ต่ำกว่า 50,000 ดอลลาร์ ทั้งนี้ TeamPCP เคยเกี่ยวข้องกับการโจมตีแบบ Supply Chain Attack ต่อแพลตฟอร์มสำหรับนักพัฒนาหลายแห่ง ทั้ง GitHub, PyPI, NPM และ Docker รวมถึงแคมเปญ Mini Shai-Hulud ที่ส่งผลกระทบต่อพนักงาน OpenAI อีกด้วย

VS Code Extension ที่ฝัง malware เป็นปัญหาที่เกิดขึ้นซ้ำแล้วซ้ำเล่าบน VS Code Marketplace ก่อนหน้านี้มีกรณี Extension ที่มียอดติดตั้งรวมกว่า 9 ล้านครั้งถูกถอดออกเนื่องจากความเสี่ยงด้านความปลอดภัย รวมถึง Extension ปลอมที่แฝง cryptominer และ Ransomware ขณะที่ในเดือนมกราคมที่ผ่านมามี Extension ที่ปลอมตัวเป็น AI Coding Assistant มียอดติดตั้ง 1.5 ล้านครั้ง ลักลอบส่งข้อมูลจากเครื่องนักพัฒนาไปยังเซิร์ฟเวอร์ในจีน

ปัจจุบัน GitHub มีองค์กรใช้งานกว่า 4 ล้านราย ครอบคลุม 90% ของบริษัทใน Fortune 100 และมีนักพัฒนามากกว่า 180 ล้านคนที่ร่วม contribute โค้ดในกว่า 420 ล้าน Repository

ที่มา: https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/