Атака на цепочку поставок GitHub: вредоносное расширение VS Code скомпрометировало 3800 внутренних репозиториев

Фото автора

CyberSecureFox Editorial Team

GitHub подтвердил факт атаки на цепочку поставок, в результате которой были скомпрометированы приблизительно 3800 внутренних репозиториев компании. Вектором проникновения стало вредоносное расширение для Visual Studio Code, установленное на рабочую станцию одного из сотрудников. Согласно официальному заявлению компании, на данный момент признаков компрометации пользовательских данных за пределами затронутых репозиториев не обнаружено, однако инцидент ставит серьёзные вопросы о безопасности экосистемы расширений для редакторов кода, которыми ежедневно пользуются миллионы разработчиков по всему миру.

Хронология и механизм атаки

Атака началась с установки вредоносного расширения из маркетплейса VS Code на устройство разработчика GitHub. Название расширения компания не раскрывает, однако известно, что оно уже удалено из маркетплейса. Скомпрометированное устройство было изолировано в рамках реагирования на инцидент.

Ключевой технический аспект этой атаки — уровень привилегий, которым обладают расширения VS Code. Как отмечают исследователи из компании Aikido, расширения получают практически полный доступ к данным на машине разработчика, включая:

  • SSH-ключи и токены доступа к облачным сервисам
  • Учётные данные для систем контроля версий
  • Переменные окружения и конфигурационные файлы
  • Иные секреты, хранящиеся локально

Именно такой широкий доступ позволил злоумышленникам через единственную скомпрометированную рабочую станцию добраться до примерно 3800 внутренних репозиториев GitHub. Компания подтвердила, что это число «в целом соответствует» результатам внутреннего расследования.

Действия злоумышленников и заявления о продаже данных

По данным BleepingComputer, на форуме Breached появились заявления о краже исходного кода GitHub и порядка 4000 приватных репозиториев. Злоумышленники предположительно выставили данные на продажу с минимальной ценой 50 000 долларов в криптовалюте, пригрозив бесплатной публикацией дампа в случае отсутствия покупателя. Следует подчеркнуть, что эти заявления исходят непосредственно от предполагаемых атакующих и не получили независимого подтверждения.

Контекст угрозы

Рабочие станции разработчиков, по оценке исследователей Aikido, превратились в одну из приоритетных целей для атак на цепочки поставок. Это объяснимо: на таких машинах сосредоточены ключи доступа к инфраструктуре, репозиториям, облачным средам и системам развёртывания. Компрометация одного разработчика с достаточными привилегиями может открыть доступ к значительной части внутренней инфраструктуры организации — что и произошло в данном случае.

Предположительно, атаки с использованием червя Shai-Hulud, связываемого с этой же группой, ранее затрагивали сотрудников OpenAI, хотя эта информация основана на данных исследовательского блога и требует дополнительного подтверждения.

Меры реагирования GitHub

GitHub сообщил о следующих действиях по локализации инцидента:

  1. Удаление вредоносного расширения из маркетплейса VS Code
  2. Изоляция скомпрометированного устройства разработчика
  3. Ротация критически важных секретов и учётных данных, начиная с наиболее приоритетных
  4. Проведение внутреннего расследования для определения полного масштаба компрометации

Компания заявляет, что доступ злоумышленников был ограничен внутренними репозиториями и не затронул пользовательские данные, хранящиеся за их пределами. Однако эта оценка отражает текущий статус расследования и может измениться при обнаружении новых свидетельств.

Рекомендации для организаций

Этот инцидент демонстрирует конкретный и воспроизводимый вектор атаки, от которого необходимо защищаться:

  • Аудит расширений VS Code: проведите инвентаризацию установленных расширений на рабочих станциях разработчиков. Внедрите политику белых списков допустимых расширений через настройки организации
  • Ограничение привилегий: минимизируйте набор секретов, доступных на рабочих станциях. Используйте краткосрочные токены вместо долгоживущих ключей доступа
  • Ротация секретов: если ваши проекты зависят от внутренних пакетов или репозиториев GitHub — проведите превентивную ротацию токенов доступа и SSH-ключей
  • Сегментация доступа: убедитесь, что компрометация одной рабочей станции не даёт доступа к тысячам репозиториев. Применяйте принцип наименьших привилегий к учётным записям разработчиков
  • Мониторинг: настройте оповещения о нетипичных паттернах доступа к репозиториям — массовом клонировании, доступе из необычных локаций, использовании ранее неактивных токенов

Инцидент с GitHub — практическая демонстрация того, что экосистема расширений для редакторов кода является полноценным вектором атаки на цепочку поставок. Организациям, использующим VS Code в корпоративной среде, следует немедленно провести аудит установленных расширений, внедрить политику их контролируемой установки и пересмотреть объём секретов, доступных на рабочих станциях разработчиков, — именно избыточный доступ с одного устройства превратил единичную компрометацию в инцидент масштаба 3800 репозиториев.

Фото автора

CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

CyberSecureFox

© 2026 INFO

О сайте

О нас

Авторы

Контакты

Редакция

Редакционные стандарты

Исправления

Правовая информация

Политика конфиденциальности

Условия использования