GitHub xác nhận gần 3.800 kho lưu trữ bị xâm phạm qua tiện ích VSCode độc hại

GitHub vừa xác nhận một sự cố bảo mật nghiêm trọng ảnh hưởng đến khoảng 3.800 kho lưu trữ nội bộ. Nguyên nhân được xác định là do một nhân viên của công ty đã cài đặt một tiện ích mở rộng (extension) độc hại cho trình soạn thảo mã VS Code.

GitHub

Trong một tuyên bố chính thức, đại diện GitHub cho biết:

"Hôm qua, chúng tôi đã phát hiện và ngăn chặn sự xâm phạm vào thiết bị của một nhân viên liên quan đến một tiện ích VS Code bị nhiễm độc. Chúng tôi đã gỡ bỏ phiên bản độc hại của tiện ích, cô lập điểm cuối và bắt đầu phản ứng sự cố ngay lập tức."

Đánh giá hiện tại cho thấy hoạt động này chỉ liên quan đến việc đánh cắp dữ liệu từ các kho lưu trữ nội bộ của GitHub. Số lượng khoảng 3.800 kho lưu trữ mà kẻ tấn công tuyên bố phù hợp với kết quả điều tra sơ bộ của công ty. Tuy nhiên, GitHub khẳng định chưa có bằng chứng cho thấy dữ liệu khách hàng được lưu trữ bên ngoài các kho lưu trữ bị ảnh hưởng bị lộ.

Trước đó, nhóm hacker TeamPCP đã nhận trách nhiệm về vụ việc trên diễn đàn tội phạm mạng Breached. Họ tuyên bố có quyền truy cập vào mã nguồn của GitHub và khoảng 4.000 kho lưu trữ mã riêng tư. Nhóm này đang rao bán dữ liệu với giá tối thiểu là 50.000 USD, khẳng định đây không phải là hoạt động tống tiền mà là bán dữ liệu cho một người mua duy nhất.

TeamPCP claims

TeamPCP không phải là cái tên xa lạ trong thế giới an ninh mạng. Nhóm này từng bị liên kết đến các cuộc tấn công chuỗi cung ứng quy mô lớn nhắm vào các nền tảng mã nguồn như GitHub, PyPI, NPM và Docker. Gần đây, họ còn đứng sau chiến dịch "Mini Shai-Hulud" ảnh hưởng đến cả nhân viên của OpenAI.

Tiện ích VS Code là các plugin giúp mở rộng tính năng cho trình soạn thảo, nhưng chúng cũng trở thành vector tấn công nguy hiểm. Đây không phải là lần đầu tiên các tiện ích độc hại xuất hiện trên VS Code Marketplace. Trong quá khứ, đã có nhiều trường hợp tiện ích giả mạo bị phát hiện, từ việc cài phần mềm đào tiền ảo (cryptominer) XMRig, ransomware, cho đến các tiện ích giả làm trợ lý AI để đánh cắp dữ liệu của nhà phát triển sang các máy chủ tại Trung Quốc.

Hiện tại, nền tảng đám mây của GitHub đang được sử dụng bởi hơn 100 triệu nhà phát triển và hàng triệu tổ chức, bao gồm cả các công ty trong Fortune 100. Vụ việc này một lần nữa nhắc nhở cộng đồng công nghệ về tầm quan trọng của việc kiểm tra kỹ lưỡng các tiện ích mở rộng trước khi cài đặt, ngay cả khi chúng đến từ các kho ứng dụng chính thống.