Microsoft bünyesindeki yazılım geliştirme platformu GitHub, 19 Mayıs'ta tespit edilen bir siber saldırıda üçüncü bir tarafın 3800 dahili deposuna yetkisiz erişim sağladığını doğruladı. Şirket, saldırının bir çalışanın cihazında bulunan 'zehirli' bir Visual Studio Code (VS Code) eklentisinden kaynaklandığını açıkladı. VS Code, Microsoft tarafından geliştirilen ücretsiz ve açık kaynaklı bir kod düzenleyicisi olup, genellikle GitHub Copilot yapay zeka asistanıyla birlikte kullanılıyor.
Saldırının sorumluluğunu üstlenen TeamPCP hacker grubu, Breached siber suç forumunda GitHub kaynak koduna ve yaklaşık 4000 özel depoya eriştiklerini iddia etti. Grup, çalınan veriler için en az 50 bin dolar talep ediyor, ancak bunun bir fidye olmadığını ve GitHub'ı gasp etmekle ilgilenmediklerini belirtiyor. TeamPCP, verileri yalnızca bir alıcıya satacaklarını, en iyi teklifi değerlendireceklerini ve alıcı bulunduğunda verileri sileceklerini duyurdu.
GitHub, saldırıyı kontrol altına aldıklarını belirterek, 'Kötü amaçlı eklenti sürümünü kaldırdık, uç noktayı izole ettik ve hemen olay müdahalesine başladık. Kritik sırlar dün ve bu gece döndürüldü; en yüksek etkili kimlik bilgilerine öncelik verildi.' dedi. Şirket, soruşturma tamamlandığında daha ayrıntılı bir rapor yayınlayacağını ve günlükleri analiz etmeye, sır döndürmeyi doğrulamaya ve olası takip faaliyetlerini izlemeye devam edeceklerini ifade etti.
TeamPCP, açık kaynak ekosistemlerine ve güvenlik araçlarına yönelik büyük ölçekli yazılım tedarik zinciri saldırılarıyla kısa sürede adını duyurmuş bir siber tehdit grubudur. Grup daha önce Aqua Security'nin Trivy güvenlik açığı tarayıcısı ve Checkmarx'in KICS altyapı-kod çözümleyicisi gibi yaygın kullanılan projeleri hedef almıştı. Ayrıca PyPI'da LiteLLM AI Gateway istemci kütüphanesi ve Telnyx SDK'sı gibi meşru paketleri arka kapılı sürümlerle ele geçirdiler. Grup, çalınan sırları paraya çevirmek için Lapsus$ ve Vect fidye yazılım grubu gibi aktörlerle ortaklık kurmuş durumda.