GitHub повідомив про несанкціонований доступ до коду приблизно з 3 800 внутрішніх репозиторіїв у результаті інфікування комп’ютера співробітника шкідливим плагіном, що викликало суттєве занепокоєння у криптовалютній галузі щодо безпеки API-ключів, збережених у програмному коді.
Засновник Binance Чанпэн Чжао рекомендував розробникам ретельно перевірити всі проєкти на наявність прихованих ключів і одразу їх анулювати, підкресливши, що навіть приватні репозиторії варто вважати скомпрометованими.
Що оприлюднила компанія
GitHub встановив, що інцидент почався після встановлення співробітником модифікованої версії розширення для VS Code – невеликого модуля для кодування, що є поширеним серед мільйонів розробників по всьому світу.
Компанія оперативно ізолювала уражений комп’ютер, видалила шкідливе розширення й ініціювала процес заміни ключових паролів протягом кількох годин. Першочергово було змінено облікові дані з найвищим рівнем ризику.
Наразі попередній аналіз свідчить, що зловмисник отримав доступ лише до внутрішніх репозиторіїв GitHub. Доказів впливу на зовнішні проєкти клієнтів, організації та облікові записи не виявлено.
GitHub підтверджує, що заява хакера щодо обсягу добутої інформації – близько 3 800 репозиторіїв – співпадає з оцінками власної групи реагування. У подальшому заплановано оприлюднити розширений аналітичний звіт після завершення розслідування.
Чому криптовалютні розробники демонструють пильність
У сфері криптовалют публічне розкриття API-ключа може призвести до швидкої втрати коштів із торгового рахунку, іноді впродовж хвилин. Додатково значна кількість ключів забезпечує доступ до гаманців, інструментів зберігання активів або ботів для біржових операцій. З цієї причини Чанпэн Чжао негайно опублікував попередження для спільноти.
Аналогічні інциденти вже мали місце. Злам інфраструктури компанії Vercel на початку року змусив команди здійснити ротацію ключів. Витік 3Commas у 2022 році скомпрометував приблизно 100 000 користувацьких ключів.
Окремий ланцюговий (supply chain) напад проти менеджера паролів Bitwarden призвів до викрадення сід-фраз гаманців і токенів розробників. Інформація згодом маскувалася у розділах репозиторіїв GitHub.
Розробники нерідко залишають приватні ключі у програмному коді, скриптах розгортання чи прихованих файлах конфігурації, виходячи з припущення, що сторонні не мають доступу до внутрішніх репозиторіїв. Прецедент GitHub засвідчує, що вразливість внутрішньої інфраструктури може бути тотожною до публічних рішень.
За інформацією GitHub, фахівці компанії продовжують аналізувати лог-файли. Чи містять будь-які з недобутої інформації компоненти чи секрети, що пов’язані з інфраструктурою криптовалют, стане зрозуміло протягом найближчих днів.
