GitHub xác nhận 3.800 kho nội bộ bị đánh cắp qua tiện ích VS Code bị nhiễm độc

GitHub đã xác nhận vào ngày 20 tháng 5 rằng một tiện ích VS Code bị nhiễm độc được cài đặt trên thiết bị của nhân viên đã cho phép kẻ tấn công truy cập vào khoảng 3.800 kho lưu trữ nội bộ tại nền tảng lưu trữ mã nguồn thuộc sở hữu của Microsoft này.

Nhóm đe dọa TeamPCP, được Google Threat Intelligence Group theo dõi dưới mã danh UNC6780, đã nhận trách nhiệm và đang rao bán các kho lưu trữ bị đánh cắp với giá khởi điểm là 50.000 USD. Đánh giá của GitHub cho thấy tuyên bố của kẻ tấn công là "phù hợp về hướng đi" với cuộc điều tra hiện tại. Trend Micro, StepSecurity và Snyk đã chính thức theo dõi TeamPCP qua ít nhất bảy làn sóng của sâu chuỗi cung ứng Mini Shai-Hulud kể từ tháng 3.

Vụ vi phạm tại GitHub không diễn ra đơn lẻ. Nó xảy ra cùng ngày với một làn sóng mới của Mini Shai-Hulud giả mạo nguồn gốc mật mã học hợp lệ trên 639 phiên bản gói npm độc hại, một ngày sau khi kẻ tấn công chiếm đoạt một tiện ích VS Code với 2,2 triệu lượt cài đặt, và cùng ngày Wiz phát hiện TeamPCP đã xâm nhập vào Python SDK durabletask của Microsoft trên PyPI. Năm bề mặt chuỗi cung ứng đã thất bại trong vòng 48 giờ.

GitHub xác nhận vụ vi phạm, chỉ định vector tấn công

"Hôm qua, chúng tôi đã phát hiện và ngăn chặn sự xâm nhập của một thiết bị nhân viên liên quan đến tiện ích VS Code bị nhiễm độc. Chúng tôi đã xóa phiên bản tiện ích độc hại, cô lập thiết bị đầu cuối và bắt đầu phản ứng sự kiện ngay lập tức," GitHub đăng trong một chuỗi bài trên X vào ngày 20 tháng 5.

Đánh giá hiện tại của GitHub là hoạt động này liên quan đến việc "chỉ có các kho lưu trữ nội bộ của GitHub bị đánh cắp". Tuy nhiên, công ty thừa nhận con số khoảng 3.800 kho lưu trữ mà kẻ tấn công đưa ra là phù hợp với điều tra. GitHub cho biết các bí mật quan trọng đã được thay đổi (rotate) ngay trong đêm, ưu tiên thông tin đăng nhập có tác động cao nhất.

Sự xác nhận của GitHub thu hẹp vector tấn công xuống một thiết bị nhân viên duy nhất nhưng để lại phạm vi ảnh hưởng đang mở rộng. Các kho nội bộ chứa cấu hình hạ tầng, script triển khai, thông tin đăng nhập staging và lược đồ API nội bộ. Việc truy cập mã nguồn ở cấp độ này không phải là vi phạm dữ liệu người dùng, mà là sự rò rỉ thông tin tình báo hạ tầng.

Sâu chuỗi cung ứng tự tạo huy hiệu nguồn gốc giả

Chỉ vài giờ trước khi GitHub công bố, Endor Labs đã phát hiện 42 gói npm độc hại được xuất bản giữa 01:39 và 02:06 UTC ngày 19 tháng 5. Socket theo dõi rộng hơn cho thấy toàn bộ làn sóng này lên tới 639 phiên bản độc hại trên 323 gói bên trong hệ sinh thái trực quan hóa dữ liệu @antv của Alibaba, với khoảng 16 triệu lượt tải xuống hàng tuần.

Làn sóng này đã giới thiệu tính năng giả mạo nguồn gốc (provenance forgery). Con sâu hiện gọi Fulcio và Rekor tại thời điểm chạy để tạo chứng chỉ ký Sigstore hợp lệ cho mọi gói nó lan truyền. Công cụ kiểm tra nguồn gốc hiển thị huy hiệu xanh. Chuỗi xây dựng thuộc về kẻ tấn công. Endor Labs stated: "Chứng thực chứng minh gói đó được xây dựng ở đâu. Nó không chứng minh việc xây dựng được ủy quyền."

Peyton Kennedy, nhà nghiên cứu bảo mật cao cấp tại Endor Labs, cho biết: "TanStack có thiết lập đúng trên giấy tờ: xuất bản đáng tin cậy OIDC, nguồn gốc đã ký, 2FA trên mọi tài khoản bảo trì. Cuộc tấn công vẫn thành công. Mỗi làn sóng chọn mục tiêu có lượt tải xuống cao hơn và giới thiệu vector truy cập thú vị hơn về mặt kỹ thuật."

Sâu nhảy sang Python SDK của chính Microsoft

Vài giờ sau làn sóng @antv, Wiz phát hiện TeamPCP đã xâm nhập vào durabletask, ứng dụng khách Python chính thức của Microsoft cho khung thực thi quy trình công việc Durable Task. Ba phiên bản độc hại (1.4.1, 1.4.2 và 1.4.3) đã được xuất bản lên PyPI trong cửa sổ 35 phút vào ngày 19 tháng 5.

Chuỗi tấn công rất trực tiếp: một tài khoản GitHub bị xâm phạm trong hoạt động TeamPCP trước đó vẫn có quyền truy cập vào kho lưu trữ microsoft/durabletask-python. Kẻ tấn công đã đổ GitHub Secrets, trích xuất token xuất bản PyPI và đẩy các bản phát hành bị nhiễm trực tiếp. PyPI đã cách ly cả ba phiên bản này.

Phân tích của StepSecurity phát hiện payload tải xuống một dropper 28 KB (rope.pyz) đánh cắp thông tin đăng nhập từ AWS, Azure, GCP, Kubernetes và hơn 90 cấu hình công cụ dành cho nhà phát triển, sau đó lan truyền ngang qua hạ tầng đám mây. Payload bỏ qua các hệ thống có ngôn ngữ là Nga. Gói durabletask có trung bình hơn 400.000 lượt tải xuống hàng tháng.

Tiện ích VS Code xâm phạm GitHub và các lỗ hổng AI Agent

Vào ngày 18 tháng 5, kẻ tấn công đã xuất bản một phiên bản bị xâm phạm của tiện ích VS Code Nx Console, được cài đặt hơn 2,2 triệu lần. Phiên bản độc hại này thu thập token từ GitHub, npm, AWS, HashiCorp Vault, Kubernetes và 1Password, nhắm cụ thể vào các tệp cấu hình Claude Code. Một ngày sau, GitHub xác nhận một tiện ích VS Code bị nhiễm độc khác là điểm nhập cho vụ vi phạm 3.800 kho nội bộ của chính họ.

Ngoài ra, nghiên cứu TrustFall của Adversa AI đã chỉ ra rằng các tác nhân lập trình AI như Claude Code, Gemini CLI, Cursor CLI và Copilot CLI coi hộp thoại tin cậy là tính năng chứ không phải sự kiện bảo mật. Một kho lưu trữ có thể gửi cấu hình tự phê duyệt và khởi chạy máy chủ MCP ngay lập tức.

Các nhà nghiên cứu từ Đại học Johns Hopkins cũng đã chứng minh rằng việc chèn lệnh (prompt injection) vào tiêu đề PR có thể khiến hành động Security Review của Claude Code tự đăng khóa API của chính nó dưới dạng bình luận. Microsoft cũng đã công bố các lỗ hổng nghiêm trọng trong Semantic Kernel cho phép thực thi mã từ xa thông qua prompt injection.

Khuyến nghị hành động

Với bảy bề mặt tấn công khác nhau bị khai thác trong chuỗi sự kiện này, các chuyên gia bảo mật khuyến cáo:

• Thay đổi bí mật: Xoay vòng các token do GitHub cấp, bí mật ứng dụng OAuth và các mối quan hệ tin cậy Actions OIDC.
• Kiểm tra tiện ích: Ghim phiên bản tiện ích VS Code và kiểm tra chính sách tự động cập nhật.
• Cảnh giác với AI Agent: Vô hiệu hóa enableAllProjectMcpServers và yêu cầu phê duyệt rõ ràng cho từng máy chủ.
• Phân tích hành vi: Không chỉ dựa vào huy hiệu nguồn gốc (provenance badges) mà cần thêm phân tích hành vi tại thời điểm cài đặt.

CrowdStrike cũng cảnh báo trong báo cáo mới nhất rằng các kênh xã hội như WhatsApp và LinkedIn đang trở thành phương thức phân phối chính cho payload, nơi EDR không có tín hiệu giám sát, đồng thời việc sử dụng AI "bóng" (Shadow AI) của nhân viên đã tăng gấp ba trong năm nay.