GitHubは、攻撃者が同社の内部リポジトリの一部にアクセスしたセキュリティインシデントを正式に確認した。この侵害は、従業員の端末にインストールされた悪意のあるVisual Studio Code拡張機能が原因だった。
インシデントは迅速に検知され、感染した拡張機能はマーケットプレイスから削除され、影響を受けたインフラは隔離され、内部調査が開始され、重要なアクセス認証情報がローテーションされた。
先に、ハッカーグループTeamPCPが専門フォーラムで、約3,800のプライベートリポジトリにアクセスし、内部ソースコードや公式資料を盗んだと主張していた。攻撃者によると、データは直接的な脅迫ではなく、少なくとも5万ドルで販売される予定だったという。
GitHubは、予備評価では内部リポジトリの侵害が確認されたものの、現時点ではユーザーデータや公開プロジェクト、プラットフォーム上の顧客のプライベートリポジトリへの大規模なアクセスを示す証拠は見つかっていないと述べている。
こうした内部リポジトリには、コードだけでなく、デプロイツール、インフラスクリプト、内部API、自動化システム、未リリースの実験的機能などが含まれている可能性がある。
専門家はまた、このインシデントがソフトウェアサプライチェーン攻撃のリスク増大を改めて浮き彫りにしていると指摘する。現代の開発では、拡張機能、ライブラリ、コンテナ、AIツールといったサードパーティコンポーネントへの依存度が高まっており、そのような要素が一つでも侵害されれば、はるかに大規模なシステムへの突破口となり得る。
GitHubは引き続きイベントログを分析し、その後の活動の兆候を追跡しているが、現時点ではクライアントインフラへの大規模な影響の兆候は検出されていないとしている。