GitHub xác nhận bị tấn công: Dữ liệu từ hàng nghìn kho lưu trữ nội bộ bị đánh cắp

GitHub, nền tảng phát triển phần mềm phổ biến thuộc sở hữu của Microsoft, vừa xác nhận họ đã trở thành nạn nhân của một cuộc tấn công mạng, dẫn đến việc đánh cắp dữ liệu từ khoảng 3.800 kho lưu trữ mã nguồn nội bộ.

Trong một loạt bài đăng trên mạng xã hội X, gã khổng lồ lưu trữ mã nguồn này cho biết họ "không có bằng chứng nào cho thấy thông tin của khách hàng được lưu trữ ngoài các kho nội bộ của GitHub bị ảnh hưởng". Tuy nhiên, cuộc điều tra về vụ việc vẫn đang được tiến hành một cách khẩn trương.

Nguyên nhân từ tiện ích mở rộng bị nhiễm độc

GitHub cho biết họ đã "phát hiện và cô lập sự xâm nhập trên một thiết bị của nhân viên liên quan đến một tiện ích mở rộng VS Code bị độc hại". VS Code là trình soạn thảo mã nguồn cực kỳ phổ biến mà các lập trình viên sử dụng hàng ngày để viết code.

Vụ việc làm nổi bật xu hướng ngày càng gia tăng của các cuộc tấn công nhắm vào các dự án mã nguồn mở phổ biến, bao gồm cả các tiện ích mở rộng (extension) lập trình. Mục tiêu của các hacker là xâm nhập vào máy tính của các nhà phát triển và dự án của họ. Bằng cách nhắm vào các dự án phổ biến, hacker có thể tiếp cận hàng loạt máy tính cùng lúc, khuếch đại tác động của cuộc tấn công một cách đáng kể.

Hiện tại, GitHub chưa công bố tên cụ thể của tiện ích mở rộng đã bị xâm phạm.

Nhóm hacker đứng sau vụ việc

Theo các báo cáo từ The Record và Bleeping Computer, một nhóm hacker tự xưng là TeamPCP đã nhận trách nhiệm cho vụ tấn công GitHub và đang rao bán dữ liệu trên một diễn đàn tội phạm mạng.

GitHub chưa đưa ra bình luận ngay lập tức về vụ việc hay trả lời các câu hỏi liên quan đến việc liệu họ có nhận được bất kỳ thông tin liên lạc nào từ hacker, chẳng hạn như yêu cầu tiền chuộc hay không.

Nhóm hacker TeamPCP từng nhận trách nhiệm cho một vụ vi phạm dữ liệu tại Ủy ban Châu Âu (European Commission), dẫn đến việc đánh cắp hơn 90 gigabyte dữ liệu từ bộ nhớ đám mây của nhánh hành pháp này. Lúc đó, các hacker đã đánh cắp khóa đám mây của Ủy ban Châu Âu trong một vụ tấn công trước đó nhắm vào Trivy – một công cụ quét lỗ hổng – bằng cách đẩy phần mềm đánh cắp thông tin (info-stealing malware) cho người dùng downstream của Trivy.

Xu hướng tấn công chuỗi cung ứng

Gần đây, OpenAI cũng là mục tiêu của một cuộc tấn công tương tự nhưng riêng biệt. Trong vụ việc đó, hacker đã đột nhập vào Tanstack, một nền tảng được các nhà phát triển web sử dụng, để đẩy các bản cập nhật chứa mã độc. Điều này cho phép hacker đánh cắp mật khẩu và mã thông báo (tokens) từ người dùng.

Sự liên tiếp của các vụ việc này cho thấy sự nguy hiểm ngày càng tăng của các cuộc tấn công chuỗi cung ứng phần mềm, đòi hỏi các nhà phát triển phải cảnh giác cao độ hơn với các công cụ và thư viện mà họ sử dụng.