- A CZ alertou todos os desenvolvedores para rotacionarem imediatamente as chaves da API, mesmo em repositórios privados.
- O GitHub confirmou uma violação por meio de uma extensão VS Code envenenada que comprometeu um dispositivo de funcionário.
- A TeamPCP afirma que 3.800 repositórios internos foram roubados e está vendendo os dados por mais de $50.000.
O fundador da Binance, Changpeng Zhao, lançou um alerta aos desenvolvedores enquanto a notícia da violação no GitHub se espalhava pelas redes sociais.
“Se você tem chaves de API no seu código, até mesmo repositórios privados, agora é a hora de conferir e alterá-las”, escreveu CZ no X.
O alerta veio enquanto o GitHub confirmou que está investigando acesso não autorizado a seus repositórios internos após alegações do grupo de ameaça TeamPCP de que roubou dados de aproximadamente 4.000 repositórios privados e internos, incluindo código-fonte e arquivos da empresa.
O grupo está tentando vender os dados roubados por mais de $50.000 em fóruns clandestinos, acrescentando que, se nenhum comprador for encontrado, os dados serão divulgados publicamente gratuitamente.
O que o GitHub Confirmou
O GitHub disse que a violação se originou de um dispositivo de funcionário comprometido por meio de uma extensão Microsoft Visual Studio Code envenenada. A empresa detectou e conteve o compromisso, removeu a extensão maliciosa, isolou o endpoint e imediatamente começou a rotacionar credenciais críticas, priorizando primeiro os segredos de maior impacto.
Em sua declaração pública, o GitHub confirmou que as alegações do TeamPCP de aproximadamente 3.800 repositórios são direcionalmente consistentes com sua própria investigação. A empresa afirmou que sua avaliação atual é que a violação envolveu apenas a exfiltração de repositórios internos do GitHub, sem evidências de impacto em repositórios de clientes, organizações empresariais ou dados de usuários armazenados fora dos sistemas internos.
O GitHub informou que notificará os clientes por meio de canais estabelecidos de resposta a incidentes caso seja descoberto algum impacto no cliente e publicará um relatório mais completo assim que a investigação for concluída.
O TeamPCP ainda está ativo
A violação do GitHub não é um incidente isolado. O mesmo grupo de ameaça está rodando uma campanha de malware separada chamada Mini Shai-Hulud, um worm autorreplicante que agora comprometeu o durabletask, um cliente oficial de Microsoft Python para o framework de execução de workflow Durable Task. Três versões de pacotes maliciosos foram identificadas: 1.4.1, 1.4.2 e 1.4.3.
De acordo com a empresa de segurança em nuvem Wiz, de propriedade do Google, o atacante comprometeu uma conta do GitHub por meio de um ataque anterior, extraiu segredos do GitHub de um repositório ao qual a conta tinha acesso e usou esses segredos para obter um token PyPI que permitia a publicação direta de versões maliciosas dos pacotes.
O malware embutido nos pacotes comprometidos opera como um dropper, buscando e executando uma carga útil de segundo estágio a partir de um servidor externo. A campanha é exclusiva para Linux e se espalha pelos ambientes AWS SSM e Kubernetes.
A própria declaração do TeamPCP sobre a venda de dados no GitHub ofereceu uma descrição incomumente franca de suas intenções. O grupo alegou que não estava tentando extorquir o GitHub e disse que os dados seriam excluídos após uma venda bem-sucedida. Também alertou que a informação poderia eventualmente ser divulgada publicamente caso nenhum comprador surgisse.
Relacionado: Hack do Protocolo Echo drena $816 mil após falsificação de eBTC Mint
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
