Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
GitHub colpita da estensione VS Code trojan: 18 minuti bastano per rubare credenziali e 3800 repository
GitHub ha confermato una violazione che ha coinvolto i suoi repository interni a causa della compromissione di un dispositivo aziendale. Il punto critico non è stato un attacco diretto alla piattaforma, ma una classica minaccia di supply chain che ha sfruttato uno strumento molto usato dagli sviluppatori: una versione malevola dell’estensione Nx Console per Visual Studio Code.
Questo episodio evidenzia quanto la sicurezza degli strumenti di sviluppo e delle estensioni possa diventare un canale privilegiato per rubare credenziali e accedere a risorse sensibili.
Secondo le informazioni disponibili, l’attaccante è riuscito a distribuire un aggiornamento trojanizzato dell’estensione sul marketplace di Visual Studio per un periodo estremamente breve, circa diciotto minuti. Nonostante la finestra ridotta, è stata sufficiente per far scaricare a diversi sistemi un payload progettato per sottrarre dati sensibili. Il comportamento dell’estensione risultava normale all’apparenza, ma all’avvio eseguiva in modo silenzioso un comando che scaricava ed eseguiva un pacchetto nascosto collegato a una modifica inserita in un repository ufficiale. La tecnica era mascherata come attività di configurazione ordinaria, riducendo la probabilità di sospetti immediati.
L’obiettivo principale era il furto di credenziali e token, con capacità di raccolta che potevano includere vault di password manager, configurazioni di strumenti di coding assistito, credenziali npm, accessi GitHub e chiavi cloud come AWS. Una volta ottenuti questi elementi, il passaggio successivo diventa rapido: usare le credenziali rubate per muoversi lateralmente e compromettere altri ambienti e servizi affidabili, alimentando un ciclo di nuove violazioni.
Nel caso specifico, si parla dell’esfiltrazione di circa 3800 repository interni. GitHub ha dichiarato di aver contenuto l’incidente, ruotato segreti critici e avviato monitoraggi per individuare eventuali attività successive. È stato anche indicato che non ci sono prove di impatti sui dati dei clienti conservati al di fuori dei repository interni, pur riconoscendo che alcuni repository possono contenere estratti di interazioni di supporto.
Le implicazioni per la cybersecurity sono chiare: l’autoupdate delle estensioni, utile per ridurre vulnerabilità non patchate, diventa un rischio quando un publisher viene compromesso. Serve un rafforzamento dei controlli sugli aggiornamenti, sulla distribuzione open source e sulla protezione delle workstation degli sviluppatori, per ridurre la superficie di attacco della supply chain software.