GitHub xác nhận vụ tấn công chuỗi cung ứng: 3.800 kho lưu trữ nội bộ bị xâm phạm

GitHub xác nhận vụ tấn công chuỗi cung ứng: 3.800 kho lưu trữ nội bộ bị xâm phạm

Nền tảng lưu trữ mã nguồn thuộc sở hữu của Microsoft, GitHub, mới đây đã xác nhận rằng khoảng 3.800 kho lưu trữ nội bộ đã bị ảnh hưởng trong một cuộc tấn công chuỗi cung ứng. Nhóm hacker TeamPCP đã tuyên bố trách nhiệm về vụ việc, cho biết họ đã truy cập được dữ liệu sau khi một nhân viên GitHub cài đặt tiện ích VS Code bị nhiễm mã độc.

GitHub

Chi tiết về vụ việc

Vào thứ Ba, nhóm hacker TeamPCP – vốn nổi tiếng với một loạt cuộc tấn công chuỗi cung ứng nhắm vào cộng đồng phần mềm mã nguồn mở gần đây – đã tuyên bố đã hack vào 4.000 kho lưu trữ nội bộ của GitHub. Trên một diễn đàn hacker ngầm, tác nhân đe dọa này đã khoe khoang về việc đánh cắp mã nguồn và cấu trúc tổ chức nội bộ, đồng thời rao bán thông tin bị đánh cắp với giá tối thiểu 50.000 USD.

GitHub đã nhanh chóng khởi động cuộc điều tra và khoảng năm giờ sau đó, họ xác nhận các tuyên bố của kẻ tấn công là có cơ sở.

"Đánh giá hiện tại của chúng tôi là hoạt động này liên quan đến việc trích xuất các kho lưu trữ nội bộ của GitHub. Tuyên bố của kẻ tấn công về khoảng 3.800 kho lưu trữ là phù hợp với hướng điều tra của chúng tôi cho đến nay," đại diện GitHub cho biết.

Lỗ hổng từ tiện ích VS Code

Nền tảng chia sẻ mã này cho biết cuộc xâm nhập là kết quả của việc một nhân viên cài đặt một tiện ích VS Code bị "độc hại" (poisoned). GitHub không nêu tên tiện ích cụ thể này và không chia sẻ chi tiết về loại dữ liệu mà thiết bị của nhân viên bị xâm phạm chứa đựng.

Theo Charlie Eriksen, nhà nghiên cứu bảo mật tại Aikido Security, các tiện ích VS Code có toàn quyền truy cập vào tất cả dữ liệu trên máy của nhà phát triển, bao gồm thông tin xác thực, khóa SSH, khóa đám mây và tất cả các bí mật khác.

Security

Mackenzie Jackson từ Aikido Security nhận định: "Máy trạm của nhà phát triển là mục tiêu số một trong các cuộc tấn công chuỗi cung ứng hiện nay, và đây chính là lý do. TeamPCP đã xâm phạm Trivy, Checkmarx, Bitwarden CLI, TanStack và giờ là GitHub, tất cả vào năm 2026, tất cả đều thông qua công cụ dành cho nhà phát triển."

Jackson cảnh báo thêm rằng hầu hết các nhóm bảo mật vẫn có tầm nhìn hạn chế đối với các tiện ích hoặc gói phần mềm trên máy của nhà phát triển, hoặc thời điểm chúng được xuất bản. "Đó là điểm mù mà các cuộc tấn công này liên tục khai thác," ông nói.

Phản ứng của GitHub

Ngay sau khi phát hiện sự cố, GitHub đã ngay lập tức xoay vòng (rotate) các bí mật quan trọng, ưu tiên các thông tin xác thực có tác động cao nhất. Họ tiếp tục phân tích nhật ký hệ thống, xác nhận việc xoay vòng bí mật và giám sát bất kỳ hoạt động theo dõi nào.

"Chúng tôi sẽ thực hiện thêm các hành động khi cuộc điều tra cho thấy cần thiết," GitHub cam kết và hứa hẹn sẽ công bố báo cáo sự cố đầy đủ vào một ngày sau đó.

Vụ việc này một lần nữa nhấn mạnh những rủi ro ngày càng gia tăng liên quan đến chuỗi cung ứng phần mềm và tầm quan trọng của việc kiểm soát chặt chẽ các công cụ phát triển mà nhân viên sử dụng.