11分钟VS Code毒插件放倒员工电脑,GitHub承认3800个内部仓库遭窃取
GitHub 官方发布安全调查公告,确认因一名员工设备感染了被投毒的 VS Code 插件,导致其内部代码仓库遭遇未经授权的访问。攻击者声称已打包窃取了 GitHub 约 3800 个内部仓库,官方承认此说法与目前的调查结果在方向上一致。
涉事恶意插件为 5 月 18 日在微软 Visual Studio Code 市场短暂上架的知名扩展 Nx Console(v18.95.0 版本)。攻击者通过窃取贡献者 Token 获得了发布权限,将包含凭证窃取器的恶意版本推送到应用市场。
虽然 Nx 团队在 11 分钟内就检测到异常并撤下了此版本,但依然有 GitHub 员工在此期间下载并中招。此恶意载荷在后台会自动读取主机的 Git 凭证、VS Code 扩展存储、AWS 密钥及 1Password 敏感数据。这套凭证让外部攻击者得以绕过外围的安全阻隔,直接打包窃取了 GitHub 内部的代码库。
GitHub 表示已在 5 月 19 日检测并控制了这起设备入侵。为了降低风险,安全团队在昨天及夜间加急轮换了所有关键密钥,并对高价值凭证进行了优先处理。目前团队正持续分析日志并监控后续活动,完整报告将在调查结束后公布。
信源:https://x.com/github/status/2056949168208552080
GitHub 官方发布安全调查公告,确认因一名员工设备感染了被投毒的 VS Code 插件,导致其内部代码仓库遭遇未经授权的访问。攻击者声称已打包窃取了 GitHub 约 3800 个内部仓库,官方承认此说法与目前的调查结果在方向上一致。
涉事恶意插件为 5 月 18 日在微软 Visual Studio Code 市场短暂上架的知名扩展 Nx Console(v18.95.0 版本)。攻击者通过窃取贡献者 Token 获得了发布权限,将包含凭证窃取器的恶意版本推送到应用市场。
虽然 Nx 团队在 11 分钟内就检测到异常并撤下了此版本,但依然有 GitHub 员工在此期间下载并中招。此恶意载荷在后台会自动读取主机的 Git 凭证、VS Code 扩展存储、AWS 密钥及 1Password 敏感数据。这套凭证让外部攻击者得以绕过外围的安全阻隔,直接打包窃取了 GitHub 内部的代码库。
GitHub 表示已在 5 月 19 日检测并控制了这起设备入侵。为了降低风险,安全团队在昨天及夜间加急轮换了所有关键密钥,并对高价值凭证进行了优先处理。目前团队正持续分析日志并监控后续活动,完整报告将在调查结束后公布。
信源:https://x.com/github/status/2056949168208552080
X (formerly Twitter)
GitHub (@github) on X
1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.
Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious…
Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious…
