GitHub getroffen door inbraak op bijna vierduizend eigen interne repositories

[Captain Kirk]

GitHub is getroffen door een inbraak op bijna vierduizend eigen interne repositories, zo heeft het platform via X bekendgemaakt. Aanvallers wisten via een besmette VS Code-extensie toegang te krijgen tot het systeem van een GitHub-medewerker. Via de gecompromitteerde machine werd vervolgens code uit zo'n 3800 interne repositories van GitHub zelf buitgemaakt. GitHub stelt dat meer dan 180 miljoen ontwikkelaars van het platform gebruikmaken voor het ontwikkelen van software. Bij de inbraak is echter alleen code van GitHub zelf gestolen, aldus de verklaring.

GitHub meldt aanvullend dat de belangrijkste secrets inmiddels zijn vervangen om verdere impact te voorkomen. Een groep aanvallers genaamd TeamPCP heeft de aanval opgeëist en biedt op internet de van GitHub gestolen code aan voor een bedrag vanaf 50.000 dollar. De aanvallers claimen dat ze onder andere broncode en interne organisatiegegevens met betrekking tot het GitHub-platform in handen hebben. GitHub meldt dat het na afronding van het onderzoek met een uitgebreider incidentrapport komt. TeamPCP wordt ook verantwoordelijk gehouden voor supplychain-aanvallen op SAP, Checkmarx, Bitwarden, Lightning, Intercom en Trivy

 

bron: https://www.security.nl

[Captain Kirk]

GitHub: gehackte repositories gevolg van TanStack supplychain-aanval

 

De aanval op GitHub waar bijna vierduizend interne repositories werden gecompromitteerd was het gevolg van de TanStack supplychain-aanval, zo heeft het platform bekendgemaakt. GitHub ontdekte op 18 mei dat aanvallers het systeem van een medewerker hadden besmet. De infectie vond plaats via een besmette VS Code-extensie die op het systeem van de medewerker was geïnstalleerd.

Via de gecompromitteerde machine werd vervolgens code uit zo'n 3800 interne repositories van GitHub zelf buitgemaakt. GitHub maakte de hack via X bekend, maar heeft inmiddels op het eigen blog iets meer informatie gepubliceerd. Daarin wordt gesteld dat de besmette extensie Nx Console was. Dit is een tool gebruikt voor de ontwikkeling van software. Eén van de ontwikkelaars van Nx Console werd onlangs gehackt via de TanStack supplychain-aanval.

TanStack biedt tal van libraries die ontwikkelaars gebruiken voor het ontwikkelen van webapplicaties. De packages van TanStack tellen tientallen miljoenen installaties. Aanvallers wisten onlangs tientallen besmette packages van TanStack te publiceren. Deze packages waren voorzien van malware die op het systeem van de getroffen ontwikkelaar tokens, credentials en andere inloggegevens steelt. Daarnaast probeert de malware softwareprojecten van de getroffen ontwikkelaar te infecteren.

Eén van de slachtoffers van de TanStack supplychain-aanval was een Nx-ontwikkelaar. De aanvallers konden zo een besmette versie van Nx Console publiceren, die mogelijk zesduizend keer is gedownload voordat die offline werd gehaald. De besmette Nx Console kwam onder andere terecht op het systeem van de GitHub-medewerker, waarvandaan de aanvallers toegang tot de interne GitHub repositories kregen en zo code uit de 3800 repositories konden stelen. GitHub komt nog met een uitgebreider incidentrapport.

Volgens Jeff Cross, ceo van Nx, laat het incident zien dat maintainers van softwareprojecten fundamentele veranderingen moeten doorvoeren aan het beveiligen en verspreiden van software. Cross voegt toe dat veel van de aannames waarop het opensource-ecosysteem jarenlang draaide niet langer meer kloppen en het tijd is voor sterkere 'supply chain security practices'.

 

bron: https://www.security.nl

[Captain Kirk]

Grafana: aanvallers konden door vergeten GitHub-token broncode stelen

De diefstal van broncode bij softwarebedrijf Grafana Labs was mogelijk door een vergeten GitHub-token dat als gevolg van een supplychain-aanval vervangen had moeten worden. Dat heeft het bedrijf zelf bekendgemaakt. Grafana Labs biedt een opensourceplatform voor datavisualisatie en monitoring. In een bericht op LinkedIn meldde Grafana Labs dat een aanvaller door middel van een gestolen token toegang tot de GitHub-omgeving had gekregen en daarbij allerlei aanwezige code was gestolen.

Op de eigen website is Grafana Labs nu met meer informatie gekomen. Volgens het bedrijf is de aanval het gevolg van de TanStack supplychain-aanval die eerder deze maand plaatsvond. TanStack biedt tal van libraries die ontwikkelaars gebruiken voor het ontwikkelen van webapplicaties. De packages van TanStack tellen tientallen miljoenen installaties. Aanvallers wisten onlangs tientallen besmette packages van TanStack te publiceren. Deze packages waren voorzien van malware die op het systeem van de getroffen ontwikkelaar tokens, credentials en andere inloggegevens steelt. Daarnaast probeert de malware softwareprojecten van de getroffen ontwikkelaar te infecteren.

Grafana Labs zegt dat het op 11 mei als gevolg van deze aanval malafide activiteit in de eigen ontwikkelomgeving detecteerde en daarop actie ondernam. Zo werd een groot aantal GitHub workflow tokens vervangen. Een token dat over het hoofd werd gezien zorgde ervoor dat de aanvallers toegang tot de GitHub-repositories van Grafana konden krijgen. Verder onderzoek wees uit dat een specifieke Github workflow waarvan in eerste instantie werd gedacht dat die niet was getroffen, toch gecompromitteerd was. Afsluitend stelt het bedrijf dat het maatregelen neemt om de CI/CD (continuous integration and continuous deployment) pipelines verder te beveiligen en soortgelijke incidenten in de toekomst te voorkomen.

 

bron: https://www.security.nl