GitHub Veri İhlali: Nx Console VS Code Eklentisi Üzerinden 3800 Depo Çalındı Yazılım

GitHub Veri İhlali: Nx Console VS Code Eklentisi Üzerinden 3800 Depo Çalındı

GitHub, iç depolarına yönelik ihlalin Nx Console VS Code eklentisindeki bir güvenlik açığından kaynaklandığını doğruladı.

GitHub, iç depolarına yönelik son ihlalin Microsoft Visual Studio Code (VS Code) için geliştirilen 'Nx Console' eklentisindeki bir güvenlik açığından kaynaklandığını doğruladı. Microsoft'a ait yazılım geliştirici platformunun güvenlik ekibi, 19 Mayıs'ta bir saldırganın çalışan cihazındaki 'zehirli' bir VS Code eklentisi aracılığıyla 3800 iç depoya yetkisiz erişim sağladığını bildirdi. Nx Console CEO'su Jeff Cross, popüler VS Code eklentisi Nx Console'un zehirlenen eklenti olduğunu ve GitHub ihlaline yol açtığını doğruladı.

Nx Console, Nx çalışma alanı görevlerini, oluşturucuları ve derlemeleri yönetmek ve çalıştırmak için grafiksel bir arayüz sağlar. Nx, büyük kod tabanlarını (monorepo olarak da bilinir) yönetmek için bir geliştirme araç takımıdır. Nx Console, Visual Studio Marketplace'te 2,2 milyon kuruluma ve doğrulanmış yayıncı rozetine sahip popüler bir eklentidir. Cross, GitHub'da yayınlanan bir raporda, Nx Console'un kötü amaçlı bir sürümünün (sürüm 18.95.0) 18 Mayıs'ta Visual Studio Marketplace ve Open VSX'e yüklendiğini açıkladı. Yükleme, meşru bir Nx bakımcısı gibi davranan bir kişi tarafından 12.30 UTC'de tamamlandı.

Güvenliği ihlal edilen eklenti, diskte ve bellekte birden çok kaynaktan kimlik bilgilerini toplayan gizlenmiş bir yük getirdi: Vault, npm, AWS, GitHub, 1Password ve dosya sistemi. Cross, kişinin yakın zamanda TanStack npm paketlerinin tedarik zinciri ihlali yoluyla meşru bir Nx geliştiricisinin GitHub kimlik bilgilerini ele geçirmeyi başardığını açıkladı. Bu, geliştirici ekosistemlerini etkileyen ve Mini Shai-Hulud kampanyası olarak bilinen daha geniş bir tedarik zinciri saldırısının parçasıydı. Cross ayrıca kötü amaçlı Nx Console sürümünün diğer Nx yöneticilerinin 'manuel onayı olmadan' yüklendiğini kabul etti.

GitHub tehdidi kontrol altına aldı ve 19 Mayıs güncellemesinde kötü amaçlı eklenti sürümünü kaldırdığını, uç noktayı izole ettiğini ve hemen olay müdahalesine başladığını açıkladı. İhlal, TeamPCP adlı hacker grubu tarafından üstlenildi. Grup önce çalınan veriler için 'en az 50.000 dolar' talep etti, ardından Lapsus$ tehdit grubuyla ortaklaşa çalınan verileri 95.000 dolara satmak için bir ilan yayınladı. Grup bunun bir 'fidye' olmadığını ve GitHub'ı gasp etmekle ilgilenmediklerini belirtti. Bunun yerine, verileri yalnızca bir alıcıya satacaklarını, '50 binin altıyla ilgilenmediklerini' ve 'en iyi teklifi alanın alacağını' iddia ettiler.

Paylaş: