Hacker haben etwa 3.800 interne GitHub-Quellcode-Repositories gestohlen und stehen jetzt zum Verkauf

TeamPCP, ein Hackerteam, das sich auf Lieferkettenangriffe spezialisiert hat, hat kürzlich einen Werbespot veröffentlicht, in dem behauptet wird, den Kernquellcode und Informationen zur internen Organisationsstruktur der Code-Hosting-Plattform GitHub zu verkaufen. Die Hackergruppe behauptete, dass es sich bei der Transaktion nicht um eine Erpressung, sondern um einen exklusiven Direktverkauf handele. Selbst wenn GitHub erpresst wurde, ist es natürlich unwahrscheinlich, dass es den Hackern ein Lösegeld als Gegenleistung für die Vertraulichkeit der Daten zahlt.

Es ist erwähnenswert, dass TeamPCP keine Beispieldaten bereitgestellt hat, sondern nur das Verzeichnis mit dem Quellcode-Repository und zugehörigen Screenshots angezeigt hat. Man kann nur sagen, dass fähige Hacker sich nicht die Mühe machen, Proben bereitzustellen, denn jetzt haben GitHub-Beamte bestätigt, dass sie tatsächlich angegriffen wurden. Nach vorläufigen Untersuchungen wurde bestätigt, dass etwa 3.800 interne Repositories von Hackern gestohlen wurden.

Quellcode-Repository mit mehreren Kernfunktionen:

Den von den Hackern veröffentlichten Verzeichnissen und Screenshots zufolge handelt es sich bei den von den Hackern gestohlenen Daten um Quellcode-Repositories für mehrere Kernfunktionen von GitHub, darunter GitHub Copilot, GitHub Enterprise Server, Red Team, sowie Schwachstellenmanagement, Risikoberichterstattung und Patch-Repositories zur Risikominderung für Cross-Site-Scripting-Angriffe in grafischen Benutzeroberflächen. Darüber hinaus wurden auch Repositories wie logische Kanäle für GitHub-Operationen und interne Kommunikation gestohlen.

Teil des komprimierten Paketnamens:

• raycast-github-copilot.tar.gz

• chiedo-copilot-cli-skills.tar.gz

• github-enterprise-server-release-notifier.tar.gz

• github-security-risk-reporting.tar.gz

• red-team.tar.gz

• github-ui-xss-hardening-research.tar.gz

• github-india.tar.gz

• repo-custom-claims-chatops.tar.gz

GitHub bestätigt Datenschutzverstoß nach Untersuchung:

GitHub bestätigte das Datenleck nach vorläufiger Untersuchung. Die Quelle des Angriffs war eine Visual Studio Code-Erweiterung, die Schadcode enthielt und von einem GitHub-Mitarbeiter installiert wurde. Diese Erweiterung war wahrscheinlich ein Opfer des TeamPCP-Wurms, d. h. der Entwickler der Erweiterung wurde ebenfalls angegriffen. Anschließend nutzte der Hacker die gestohlenen Zugangsdaten, um eine Version mit Schadcode zu veröffentlichen. Wenn mehr Entwickler die bösartige Version der Erweiterung installierten, würden auch ihre Anmeldeinformationen gestohlen.

Nachdem GitHub die Bedrohung erkannt hatte, entfernte es sofort die schädliche Version der Erweiterung und stellte das Gerät des Mitarbeiters unter Quarantäne. Als Notfallmaßnahme hat GitHub außerdem sofort alle wichtigen Anmeldeinformationen rotiert, die möglicherweise betroffen sind. Angesichts der potenziellen Bedrohung durch den Wurm muss GitHub jedoch auch weiterhin Protokolle analysieren und nachfolgende Aktivitäten überwachen, um zu verhindern, dass der Wurm andere Systeme infiziert und weitere Anmeldeinformationen stiehlt.

Schließlich bestätigte GitHub, dass etwa 3.800 interne Quellcode-Repositorys gestohlen wurden. GitHub wird anschließend einen detaillierten Sicherheitsuntersuchungsbericht veröffentlichen, um seine Erfahrungen auszutauschen.