CZ warnt Entwickler, API-Schlüssel zu rotieren, da GitHub interne Sicherheitslücke bestätigt

• CZ warnte alle Entwickler, API-Schlüssel sofort zu rotieren, auch in privaten Repositories.
• GitHub bestätigte eine Sicherheitsverletzung durch eine vergiftete VS Code-Erweiterung, die ein Mitarbeitergerät kompromittierte.
• TeamPCP behauptet, dass 3.800 interne Repos gestohlen wurden und verkauft die Daten für über 50.000 US-Dollar.

Binance-Gründer Changpeng Zhao gab eine Warnung an Entwickler aus, als sich die Nachricht über die GitHub-Sicherheitslücke in den sozialen Medien verbreitete.

„Wenn Sie API-Schlüssel in Ihrem Code haben, auch in privaten Reposis, ist jetzt der richtige Zeitpunkt, sie doppelt zu überprüfen und zu ändern“, schrieb CZ auf X.

Die Warnung erfolgte, als GitHub bestätigte, dass es unbefugten Zugriff auf seine internen Repositories untersucht, nachdem die Bedrohungsgruppe TeamPCP behauptet hat, Daten aus etwa 4.000 privaten und internen Repositories, einschließlich Quellcode und Firmendateien, gestohlen zu haben.

Die Gruppe versucht, die gestohlenen Daten für mehr als 50.000 Dollar in Untergrundforen zu verkaufen, und fügt hinzu, dass die Daten kostenlos veröffentlicht werden, falls kein Käufer gefunden wird.

Was GitHub bestätigt hat

GitHub erklärte, der Datenverstoß sei von einem kompromittierten Mitarbeitergerät über eine vergiftete Microsoft Visual Studio Code-Erweiterung entstanden. Das Unternehmen erkannte und begrenzte die Kompromittierung, entfernte die bösartige Erweiterung, isolierte den Endpunkt und begann sofort, kritische Zugangsdaten mit den höchsten Auswirkungen priorisierten Geheimnissen zu rotieren.

In seiner öffentlichen Stellungnahme bestätigte GitHub, dass die Angaben von TeamPCP über etwa 3.800 Repositories mit der eigenen Untersuchung übereinstimmen. Das Unternehmen erklärte, dass seine aktuelle Einschätzung darin besteht, dass der Sicherheitsvorstoß ausschließlich die Exfiltration von GitHub-internen Repositories betraf, ohne Hinweise auf Auswirkungen auf Kundenrepositories, Unternehmensorganisationen oder Benutzerdaten, die außerhalb interner Systeme gespeichert sind.

GitHub teilte mit, dass es Kunden über etablierte Incident-Response-Kanäle benachrichtigt, falls eine Kundenauswirkung festgestellt wird, und nach Abschluss der Untersuchung einen ausführlicheren Bericht veröffentlichen wird.

TeamPCP ist weiterhin aktiv

Der GitHub-Sicherheitsvorfall ist kein Einzelfall. Die gleiche Bedrohungsgruppe betreibt eine separate Malware-Kampagne namens Mini Shai-Hulud, einen sich selbst replizierenden Wurm, der nun DurableTask kompromittiert hat, einen offiziellen Microsoft Python-Client für das Durable Task Workflow-Ausführungsframework. Es wurden drei bösartige Paketversionen identifiziert: 1.4.1, 1.4.2 und 1.4.3.

Laut der Google-eigenen Cloud-Sicherheitsfirma Wiz hat der Angreifer durch einen früheren Angriff ein GitHub-Konto kompromittiert, GitHub-Geheimnisse aus einem Repository extrahiert, auf das das Konto Zugriff hatte, und diese Geheimnisse genutzt, um einen PyPI-Token zu erhalten, der eine direkte Veröffentlichung bösartiger Paketversionen ermöglicht.

Die in den kompromittierten Paketen eingebettete Malware funktioniert als Dropper, der eine zweite Nutzlaststufe von einem externen Server abruft und ausführt. Die Kampagne ist ausschließlich Linux-basiert und verbreitet sich über AWS SSM- und Kubernetes-Umgebungen.

Die eigene Stellungnahme von TeamPCP zum Verkauf von GitHub-Daten bot eine ungewöhnlich offene Beschreibung ihrer Absichten. Die Gruppe behauptete, sie habe nicht versucht, GitHub zu erpressen, und erklärte, die Daten würden nach einem erfolgreichen Verkauf gelöscht. Es wurde außerdem gewarnt, dass die Informationen schließlich öffentlich veröffentlicht werden könnten, falls kein Käufer auftaucht.

Verwandt: Echo-Protokoll-Hack verbraucht 816.000 $ nach gefälschter eBTC-Mint