O GitHub admitiu ter invadido 3.800 repositórios devido a um funcionário que instalou uma extensão maliciosa no VS Code.

O GitHub confirmou que aproximadamente 3.800 repositórios foram comprometidos depois que um de seus funcionários instalou uma extensão maliciosa para o VS Code. A empresa removeu a extensão da loja e protegeu o dispositivo afetado.

Fonte da imagem: Rubaitul Azad / unsplash.com

“Ontem, detectamos e contivemos uma invasão ao dispositivo de um funcionário relacionada a uma extensão infectada do VS Code. Removemos a versão maliciosa da extensão, isolamos a estação de trabalho e iniciamos imediatamente uma resposta ao incidente. Nossa avaliação atual é de que o ataque resultou apenas em um vazamento de dados de repositórios internos do GitHub. As alegações atuais do invasor de uma violação de aproximadamente 3.800 repositórios são, em geral, consistentes com os resultados de nossa investigação”, afirmou a administração da plataforma em um comunicado.

O GitHub ainda não divulgou a origem do vazamento, mas o grupo de hackers TeamPCP anunciou em um fórum dedicado, no dia anterior, que tinha acesso ao código-fonte do GitHub e a “aproximadamente 4.000 repositórios de código fechado”, exigindo pelo menos US$ 50.000 pelos dados roubados e ameaçando divulgá-los gratuitamente caso o pagamento seja recusado. O TeamPCP já foi associado a ataques em larga escala à cadeia de suprimentos que comprometeram plataformas de desenvolvimento de código, incluindo GitHub, PyPI, NPM e Docker, bem como à campanha Mini Shai-Hulud, que afetou dois funcionários da OpenAI.

Os plugins do VS Code são instalados a partir da loja oficial, e esta não é a primeira vez que a extensão contém um Trojan — plugins maliciosos às vezes acumulam milhões de downloads. O GitHub é usado atualmente por mais de 4 milhões de organizações, incluindo 90% das empresas da Fortune 100, e por mais de 180 milhões de desenvolvedores que contribuem para mais de 420 milhões de repositórios de código.