Microsoft'a ait yazılım geliştirme platformu GitHub, bir üçüncü tarafın 3800 dahili deposuna yetkisiz erişim sağladığını doğruladı. İhlal, 19 Mayıs'ta tespit edildi ve GitHub güvenlik ekibinin bir çalışan cihazında bulduğu 'zehirli' bir Visual Studio Code (VS Code) eklentisinden kaynaklandığı belirtildi. VS Code, Microsoft tarafından geliştirilen ücretsiz, açık kaynak kodlu bir kod düzenleyici ve sıklıkla GitHub Copilot ile birlikte kullanılıyor.
İhlali TeamPCP hacker grubu üstlendi. Breached siber suç forumunda yapılan açıklamada, grup GitHub kaynak koduna ve 'yaklaşık 4000 özel kod deposuna' eriştiklerini iddia etti. TeamPCP, çalınan veriler için en az 50 bin dolar talep ediyor. Ancak tehdit grubu, bunun bir 'fidye' olmadığını ve GitHub'ı gasp etmekle ilgilenmediklerini belirtti. Verileri yalnızca bir alıcıya satacaklarını, 50 bin doların altındaki tekliflerle ilgilenmediklerini ve en iyi teklifi alanın verileri alacağını söylediler.
GitHub, ihlali doğruladıktan sonra durumu kontrol altına aldığını açıkladı. 'Kötü amaçlı eklenti sürümünü kaldırdık, uç noktayı izole ettik ve hemen olay müdahalesine başladık. Kritik sırlar dün ve bu gece döndürüldü, en yüksek etkili kimlik bilgilerine öncelik verildi' dedi GitHub. Şirket, soruşturma tamamlandığında daha ayrıntılı bir rapor yayınlayacağını da vaat etti.
TeamPCP, açık kaynak ekosistemlerine yönelik büyük ölçekli tedarik zinciri saldırılarıyla hızla tanınan bir siber tehdit grubudur. Grup daha önce Aqua Security'nin Trivy güvenlik tarayıcısı ve Checkmarx'in KICS altyapı-kod analizörü gibi yaygın projeleri hedef almıştı. Ayrıca PyPI'da LiteLLM AI Gateway istemci kütüphanesi ve Telnyx'in resmi SDK'sı gibi meşru paketleri arka kapılı sürümler yayınlayarak doğrudan tehlikeye attılar. Bu saldırılar, bulut kimlik bilgileri, SSH anahtarları, Kubernetes yapılandırmaları gibi hassas bilgileri toplamayı amaçlıyor.