GitHub on vahvistanut virallisesti tietoturvahyökkäyksen, jossa hyökkääjät pääsivät käsiksi yhtiön sisäisiin säilöihin. Tietomurto johtui haitallisesta Visual Studio Code -laajennuksesta, joka oli asennettu työntekijän laitteelle.
Tapaus havaittiin nopeasti: saastunut laajennus poistettiin laajennuskaupasta, altistunut infrastruktuuri eristettiin, sisäinen tutkinta käynnistettiin ja kriittiset pääsytunnukset vaihdettiin.
Aiemmin hakkeriryhmä TeamPCP väitti erikoisalustoilla, että se oli päässyt käsiksi noin 3 800 yksityiseen säilöön ja varastanut sisäistä lähdekoodia ja virallisia materiaaleja. Hyökkääjien mukaan tietoja oli tarkoitus myydä vähintään 50 000 dollarilla, eikä käyttää suoraan kiristykseen.
GitHub totesi, että sen alustava arvio viittaa sisäisten säilöjen vaarantumiseen, mutta toistaiseksi yhtiö ei ole löytänyt todisteita laajamittaisesta pääsystä käyttäjätietoihin, julkisiin projekteihin tai asiakkaiden yksityisiin säilöihin alustalla.
Tällaiset sisäiset säilöt saattavat sisältää paitsi koodia myös käyttöönottotyökaluja, infrastruktuuriskriptejä, sisäisiä rajapintoja, automaatiojärjestelmiä ja kokeellisia ominaisuuksia, joita ei ole vielä julkaistu käyttäjille.
Asiantuntijat huomauttavat, että tapaus korostaa jälleen ohjelmistotoimitusketjun hyökkäysten kasvavia riskejä. Nykyaikainen kehitys on yhä riippuvaisempi kolmannen osapuolen komponenteista – laajennuksista, kirjastoista, säiliöistä ja tekoälytyökaluista – ja jo yhdenkin tällaisen elementin vaarantaminen voi avata tien paljon suurempiin järjestelmiin.
GitHub jatkaa tapahtumalokien analysointia ja mahdollisen jatkotoiminnan seurantaa, ja vakuuttaa, että toistaiseksi ei ole havaittu merkkejä laajamittaisista vaikutuksista asiakasinfrastruktuuriin.