GitHubin 3 800 repoa varastettu haitallisen VS Code -laajennuksen kautta

GitHubin 3 800 repoa varastettu haitallisen VS Code -laajennuksen kautta

Vaarantunut kehittäjätyökalu on johtanut yhteen viime aikojen merkittävimmistä tietovarastojen tietoturvaloukkauksista. GitHub tutkii parhaillaan tietoturvapoikkeamaa, jossa haitallinen Visual Studio Code -laajennus sai tartunnan työntekijän laitteeseen ja johti noin 3 800 sisäisen tietovaraston anastamiseen. Varastettu koodi listattiin myytäväksi kyberrikollisfoorumilla uhkaryhmän toimesta, joka kutsuu itseään nimellä TeamPCP. Tietoturvatiimeille ja kehittäjille, jotka tukeutuvat sisäisiin tietovarastoihin, tapaus on terävä muistutus siitä, että kehittäjälaitteiden tietoturva ja tietovarastojen murtoriski ovat erottamattomia ongelmia.

Miten haitallinen VS Code -laajennus vaaransi GitHub-työntekijän

Visual Studio Codesta on tullut hallitseva editori ammattimaisessa ohjelmistokehityksessä, ja sen laajennusmarkkina on valtava. Useimmat kehittäjät suhtautuvat laajennuksiin samoin kuin mobiilisovelluksiin: asennetaan, luotetaan ja jatketaan eteenpäin. Juuri tätä oletusta hyökkääjät käyttävät hyväkseen.

Tässä tapauksessa GitHub-työntekijä asensi näennäisesti troijalaistettua VS Code -laajennuksen. Asennuksen jälkeen haitallisella laajennuksella oli pääsy samaan ympäristöön kuin kehittäjällä: tiedostojärjestelmään, IDE:hen välimuistiin tallennettuihin tunnistetietoihin, aktiivisiin todennustunnisteisiin ja mahdollisesti kaikkiin laitteen ylläpitämiin verkkoyhteyksiin. Tästä yhdestä sisäänpääsypisteestä hyökkääjä pystyi tavoittamaan GitHubin sisäiset tietovarastot ja anastamaan huomattavan määrän omistuksellista koodia.

Kyseessä ei ole teoreettinen hyökkäyspolku. Haitalliset paketit ja laajennukset ovat olleet kasvava ongelma kehittäjäekosysteemeissä npm:stä ja PyPI:stä selainlaajennuskauppoihin. VS Coden laajennusmarkkina, vaikka se onkin laaja ja laajalti käytetty, on historiallisesti nojautunut automaattiseen skannaukseen, jonka kehittyneet uhkatoimijat voivat kiertää viivästetyn hyötykuorman toimittamisen tai hämäyksen avulla.

Mitä varastettiin ja mitä TeamPCP:n myynti-ilmoitus paljastaa

Saatavilla olevien tietojen mukaan poikkeaman aikana anastettiin noin 3 800 sisäistä GitHub-tietovarastoa. Vastuun itselleen vaatinut TeamPCP listasi tämän materiaalin myöhemmin kyberrikollisfoorumilla, mikä viittaa siihen, että motivaatio on taloudellinen eikä vakoilulähtöinen.

Ilmoituksen laajuus on huomionarvoinen. GitHubin kaltaisen yrityksen sisäiset tietovarastot voivat sisältää omistuksellisia työkaluja, sisäistä infrastruktuurikoodia, tietoturvalogi ikkaa ja integraatioita muihin Microsoft-palveluihin. Vaikka asiakastietoja ei olisi suoraan mukana, sisäinen koodi voi paljastaa arkkitehtuurisia oletuksia, todennusvirtoja ja järjestelmärajoja, joita kehittyneet hyökkääjät voivat käyttää jatkohyökkäysten suunnitteluun.

Myynti-ilmoitus itsessään viestii myös jotain tärkeää: rikkomusta ei pystytty rajoittamaan riittävän nopeasti ennen kuin hyökkääjällä oli aikaa anastaa, organisoida ja markkinoida varastettua materiaalia. Tämä tapahtumaketju viittaa siihen, että alkuperäisellä vaarantumisella oli merkittävä asumisaika, tai ainakin siihen, että tietojen anastaminen oli niin nopeaa, että se ehti valmistua ennen havaitsemista ja rajoittamista.

Miksi kehittäjäpäätepisteet ovat tietovarastoturvallisuuden heikoin lenkki

Yritysorganisaatiot investoivat tyypillisesti runsaasti kehäsuojaukseen, verkon valvontaan ja tuotantojärjestelmien käytönhallintaan. Vähemmälle tarkastelulle jää usein itse kehittäjäpäätelaite — kannettava tietokone tai työasema, jota ohjelmistoinsinööri käyttää päivittäin koodin kirjoittamiseen, testaamiseen ja päivittämiseen.

Kehittäjälaitteet ovat erittäin arvokkaita kohteita juuri niiden kantaman pääsyn vuoksi. Yhdellä todennetulla kehittäjäistunnolla voidaan tavoittaa sisäiset tietovarastot, CI/CD-putket, salaisuuksien hallintajärjestelmät ja pilvi-infrastruktuurin konsolit. Yhden laitteen vaarantaminen antaa hyökkääjälle käytännössä ennakkotodennetun kulkuluvan läpi monien yritysturvallisuuden kerrosten.

Laajennuksiin ja paketteihin perustuvat toimitusketjuhyökkäykset ovat tässä yhteydessä erityisen vaarallisia, koska ne sulautuvat normaaliin kehittäjäkäyttäytymiseen. Uuden työkalun asentaminen on rutiinia. Kehittäjiä ei ole opetettu suhtautumaan jokaiseen IDE-laajennukseen mahdollisena uhkavektorina niin kuin tietoturvatiimit suhtautuvat tuntemattomiin suoritettaviin tiedostoihin. Tätä asenteen puutetta TeamPCP:n kaltaiset uhkaryhmät käyttävät aktiivisesti hyväkseen.

Tämä tapaus heijastaa laajempaa kaavaa: hyökkääjät eivät enää yritä murtautua suoraan palomuureista. He vaarantavat luotetut ihmispäätepisteet, joilla on jo laillinen pääsy järjestelmiin.

Kerrostetut suojaukset: VPN:t, nollaluottamus ja MFA sisäisen koodin käytön suojaamiseksi

Yksikään yksittäinen hallintakeino ei estä tätä hyökkäysluokkaa, mutta kerrostetut puolustukset voivat merkittävästi rajoittaa vaurioita, kun laite vaarantuu.

Nollaluottamusverkkoliityntä on tärkein arkkitehtoninen muutos tässä yhteydessä. Nollaluottamusmallissa laiteluottamusta arvioidaan jatkuvasti sen sijaan, että se oletettaisiin. Vaikka hyökkääjällä olisi kelvollinen istuntotunniste, poikkeava käyttäytyminen (kuten tietovarastojen joukkokloonaus epätavalliseen aikaan) voi käynnistää uudelleentodennuksen tai automaattisen istunnon lopettamisen. Nollaluottamuksen yhdistäminen vahvaan päätelaitteiden tunnistukseen antaa tietoturvatiimeille näkyvyyden siihen, mitkä prosessit tekevät verkkokutsuja, mukaan lukien villit laajennukset.

Monitekijätodennus laitteistosidonnaisilla avaimilla lisää toisen esteen. Tietojenkalastelua kestävä MFA (FIDO2/avaintenhallintatunnukset) varmistaa, että edes täysin vaarantunut laite ei voi hiljaisesti todentautua uusiin istuntoihin ilman käyttäjän fyysistä vuorovaikutusta.

VPN:t täyttävät tässä pinossa tietyn ja usein aliarvostetun roolin. Kun kehittäjät käyttävät sisäisiä järjestelmiä etänä, liikenteen reitittäminen yksityisyystarkastetun VPN:n kautta tiukoilla lokittamattomuuskäytännöillä vähentää istunnonsieppauksen riskiä ja rajoittaa verkkotason näkyvyyttä, joka on saatavilla hyökkääjälle, joka on osittain vaarantanut laitteen tai verkkoretki. Tekniikkatiimeille, jotka arvioivat vaihtoehtoja, Mullvad on tutustumisen arvoinen: se ei vaadi sähköpostiosoitetta rekisteröitymiseen, käyttää anonyymejä tilinumeroita, ja sen lokittamattomuusväite on vahvistettu tosielämän olosuhteissa, kun Ruotsin poliisi suoritti kotietsinnän eikä löytänyt mitään takavarikoitavaa. Sen sovellukset ovat täysin avoimen lähdekoodin, mikä on merkityksellinen ominaisuus kehittäjäkeskeisille tiimeille, jotka haluavat tarkastaa mitä he käyttävät.

Tiimeille, jotka priorisoivat itsenäisesti tarkastettua infrastruktuuria, Private Internet Access on todistanut lokittamattomuusväitteensä liittovaltion oikeudenkäynneissä ja ylläpitää täysin avoimen lähdekoodin sovelluksia kolmansien osapuolten tarkastusten tukemana.

VPN:ien lisäksi organisaatioiden tulisi myös ottaa käyttöön laajennusten sallittujen listoille merkitseminen kehittäjätyökaluille, vaatia koodin allekirjoitusta tai organisaation hyväksyntää ennen kuin IDE-laajennuksia voidaan asentaa yrityksen laitteisiin, sekä ylläpitää yksityiskohtaisia tarkastuslokeja tietovarastojen käyttömalleista joukkoanastuksen varhaiseksi havaitsemiseksi.

Mitä tämä tarkoittaa sinulle

Jos olet kehittäjä tai osa teknologiatiimiä, joka käyttää sisäisiä tietovarastoja etänä, tämä tapaus on suora signaali tarkistaa päätelaiteasentosi.

Toiminnalliset johtopäätökset:

• Tarkasta kaikki työkoneellesi tällä hetkellä asennetut VS Code -laajennukset. Poista kaikki, mitä et ole tarkoituksellisesti asentanut tai et enää aktiivisesti käytä.
• Suhtaudu IDE-laajennuksiin samalla epäluulolla kuin tuntemattomien suoritettavien tiedostojen asentamiseen. Tarkasta julkaisijan vahvistus ja arvostelujen määrä ennen asentamista.
• Ajaa asiaa organisaatiossasi laajennusten sallittujen listoille merkitsemisen toteuttamiseksi hallituilla kehittäjälaitteilla.
• Varmista, että sisäisen tietovaraston käyttösi on katettu tietojenkalastelua kestävällä MFA:lla, ei pelkällä salasana-plus-SMS-yhdistelmällä.
• Jos tiimisi käyttää sisäisiä järjestelmiä julkisten tai hallitsemattomien verkkojen kautta, lisää yksityisyystarkastettu VPN yhdeksi kerrokseksi nollaluottamuspohjaiseen etäkäyttöpinoon.
• Tee yhteistyötä tietoturvatiimisi kanssa perusvaroitusten luomiseksi joukkomaisen tietovaraston käytön tai epätavallisen kloonauskäyttäytymisen havaitsemiseksi.

GitHub-tapauksen tutkinta on edelleen kesken, eikä kaikkien käytettyjen tietojen täyttä laajuutta välttämättä julkisteta vähään aikaan. Jo nyt on selvää, että kehittäjäpäätepisteet edustavat korkean arvon, riittämättömästi suojattua pintaa useimmissa organisaatioissa. Tähän puutteeseen puuttuminen ei vaadi täydellistä infrastruktuuriuudistusta. Se alkaa kohtelemalla kehittäjän työasemaa omana tietoturvarajanaan.