ME News からのニュース、5月20日(UTC+8)、動察 Beatingのモニタリングによると、GitHub公式がセキュリティ調査の発表を行い、従業員1人の端末が毒入りVS Codeプラグインに感染したことにより、内部コードリポジトリが不正アクセスを受けたことを確認した。攻撃者はGitHubの約3800の内部リポジトリをパッケージ化して盗んだと主張しており、公式はこの主張が現在の調査結果と方向性において一致していることを認めた。問題の悪意あるプラグインは、5月18日にMicrosoft Visual Studio Codeマーケットに一時的に公開された有名拡張機能Nx Console(v18.95.0バージョン)である。攻撃者は貢献者のトークンを盗んで公開権限を取得し、資格情報窃取機能を含む悪意あるバージョンをアプリケーションマーケットにプッシュした。Nxチームは11分以内に異常を検知しこのバージョンを削除したものの、その間にGitHub従業員がダウンロードして被害に遭った。この悪意あるペイロードはバックグラウンドで自動的にホストのGit資格情報、VS Code拡張ストレージ、AWSキー、および1Passwordの機密データを読み取る。これらの資格情報により外部攻撃者は周辺のセキュリティ障壁を迂回し、GitHub内部のコードベースを直接パッケージ化して盗むことができた。GitHubは5月19日にこの端末侵入を検出し制御したと発表した。リスクを低減するため、セキュリティチームは昨日から夜間にかけて全重要なキーを緊急ローテーションし、高価値の資格情報を優先的に処理した。現在チームは引き続きログを分析し後続の活動を監視しており、完全な報告書は調査終了後に公開される予定である。(出典:BlockBeats)
11分間でVS Codeの悪意あるプラグインが従業員のPCをダウンさせ、GitHubは3800の内部リポジトリが盗まれたことを認める。