- CZ a averti tous les développeurs de faire immédiatement tourner les clés API, même dans des dépôts privés.
- GitHub a confirmé une violation via une extension VS Code empoisonnée compromettant un appareil employé.
- TeamPCP affirme que 3 800 dépôts internes ont été volés et vend ces données pour plus de 50 000 $.
Le fondateur de Binance, Changpeng Zhao, a lancé un avertissement aux développeurs alors que la nouvelle de la violation de GitHub se répandait sur les réseaux sociaux.
« Si vous avez des clés API dans votre code, même des dépôts privés, c’est le moment de vérifier et de les modifier », a écrit CZ sur X.
L’avertissement est intervenu alors que GitHub a confirmé qu’il enquêtait sur un accès non autorisé à ses dépôts internes, suite aux affirmations du groupe de menace TeamPCP selon lesquelles il aurait volé des données d’environ 4 000 dépôts privés et internes, y compris le code source et les fichiers de l’entreprise.
Le groupe tente de vendre les données volées pour plus de 50 000 $ sur des forums clandestins, ajoutant que si aucun acheteur n’est trouvé, les données seront rendues publiques gratuitement.
Ce que GitHub a confirmé
GitHub a indiqué que la violation provenait d’un appareil employé compromis via une extension Microsoft Visual Studio Code empoisonnée. L’entreprise a détecté et contenu la compromission, supprimé l’extension malveillante, isolé le point de terminaison, et a immédiatement commencé à faire tourner les identifiants critiques avec les secrets les plus importants prioritaires.
Dans sa déclaration publique, GitHub a confirmé que les affirmations de TeamPCP concernant environ 3 800 dépôts sont cohérentes dans le sens directionnel avec sa propre enquête. L’entreprise a indiqué que son évaluation actuelle est que la faille impliquait uniquement l’exfiltration des dépôts internes de GitHub, sans preuve d’impact sur les dépôts clients, les organisations d’entreprise ou les données utilisateurs stockées en dehors des systèmes internes.
GitHub a indiqué qu’il informera les clients via des canaux de réponse aux incidents établis si un impact client est détecté et publiera un rapport plus complet une fois l’enquête terminée.
TeamPCP est toujours actif
La violation de GitHub n’est pas un incident isolé. Le même groupe de menaces mène une campagne de malware distincte appelée Mini Shai-Hulud, un ver autoréplicant qui a désormais compromis durabletask, un client officiel Microsoft Python pour le cadre d’exécution du workflow Durable Task. Trois versions de paquets malveillants ont été identifiées : 1.4.1, 1.4.2 et 1.4.3.
Selon la société de sécurité cloud Wiz, propriété de Google, l’attaquant a compromis un compte GitHub lors d’une attaque précédente, extrait des secrets GitHub d’un dépôt auquel le compte avait accès, et utilisé ces secrets pour obtenir un jeton PyPI permettant la publication directe de versions malveillantes de paquets.
Le malware intégré dans les paquets compromis fonctionne comme un dropper, récupérant et exécutant une charge utile de second étage depuis un serveur externe. La campagne est uniquement Linux et se diffuse via les environnements AWS SSM et Kubernetes.
La propre déclaration de TeamPCP concernant la vente de données sur GitHub offrait une description exceptionnellement franche de leurs intentions. Le groupe a affirmé ne pas tenter d’extorquer GitHub et a déclaré que les données seraient supprimées après une vente réussie. Il a également averti que l’information pourrait éventuellement être rendue publique si aucun acheteur ne se révèlait.
À lire aussi : Le piratage du protocole Echo vide 816 000 $ après avoir fabriqué un faux eBTC Mint
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
