GitHub teilt mit, dass eine manipulierte Visual Studio Code-Erweiterung einem Angreifer kurzzeitig Zugriff auf einige seiner internen Repositorys ermöglicht habe – ein Vorfall, den das Unternehmen nun als „begrenzte Sicherheitsverletzung“ bezeichnet. Das Unternehmen hat auf X neue Details bekannt gegeben, nachdem es seine Untersuchungen zu dem Vorfall weiter vorangetrieben hat.
Wie die manipulierte VS Code-Erweiterung GitHub kompromittierte
GitHub sagt, dass eine bösartige VS Code-Erweiterung das Gerät eines Mitarbeiters kompromittiert hat, was dann die Erkennung eines unbefugten Zugriffs auf interne Repositories auslöste. Laut dem Update zum Vorfall enthielt die Erweiterung versteckten Code, der nach der Installation und Aktivierung auf dem Rechner des Entwicklers ausgeführt wurde. Diese Payload nutzte dann die vorhandenen Anmeldedaten und Entwicklertools des Mitarbeiters, um auf bestimmte interne GitHub-Repos zuzugreifen, und verwandelte den Laptop so in eine Brücke für den Angreifer.
Das Unternehmen gab an, die bösartige Version der Erweiterung sofort aus dem Verkehr gezogen, den anfälligen Endpunkt isoliert und umfassende Maßnahmen zur Incident Response eingeleitet zu haben. Die Ermittler untersuchten die Zugriffsprotokolle, um festzustellen, auf welche Repositorys der Angreifer zugegriffen hatte und welche Daten er möglicherweise gelesen oder geklont hatte. GitHub teilte mit, dass es bislang keine Hinweise darauf gefunden habe, dass der Angreifer schädliche Änderungen an öffentlichem Code vorgenommen oder Produktionssysteme manipuliert habe, die Untersuchung werde jedoch fortgesetzt.
Warum VS-Code-Erweiterungen eine wachsende Schwachstelle sind
Sicherheitsforscher warnen schon seit Monaten, dass VS-Code-Plugins auf Entwickler-PCs als „Mini-Admins“ agieren könnten. Viele gängige Erweiterungen können lokale Dateien lesen und schreiben, Code ausführen und Netzwerkverbindungen herstellen, sodass ein einziges bösartiges oder anfälliges Plugin ein ganzes Unternehmen gefährden könnte. Eine Untersuchung von OX Security im Februar deckte schwerwiegende Probleme in vier beliebten VS-Code-Erweiterungen auf, darunter Live Server und Code Runner, die mehr als 120 Millionen Mal heruntergeladen wurden und für Dateidiebstahl und die Ausführung von Remote-Code ausgenutzt werden konnten.
In diesem Fall verschaffte die kompromittierte Erweiterung dem Angreifer Zugriff auf die interne Umgebung von GitHub, ohne dass ein direkter Angriff auf die Kerninfrastruktur von GitHub erforderlich war. Das ist Teil eines breiteren Trends bei Angriffen auf die Software-Lieferkette, bei denen Angreifer eher auf Entwicklertools, CI/CD-Pipelines und Build-Systeme abzielen als auf Frontend-Anwendungen. Sobald sie sich im Arbeitsablauf eines Entwicklers eingenistet haben, können Angreifer sich seitlich ausbreiten, Passwörter stehlen und bei unzureichenden Abwehrmaßnahmen sogar veränderte Pakete veröffentlichen.
GitHub gibt an, nach dem Vorfall die Kontrollen rund um interne Erweiterungen und Entwickler-Endpunkte verschärft zu haben. Das Unternehmen schränkt ein, welche Erweiterungen Mitarbeiter installieren dürfen, verstärkt die Überwachung auf ungewöhnliche Repository-Zugriffe und überprüft, wie Teams Entwickler-Zugangsdaten speichern und verwenden.
WEITERLESEN: Bakkt-Aktie befindet sich auf einem wichtigen Unterstützungsniveau: Ist sie angesichts von Insiderkäufen ein Kauf?
