گیت‌هاب: یک افزونه مخرب VS Code موجب سرقت ۳,۸۰۰ مخزن کد داخلی شد

گیت‌هاب بزرگترین پلتفرم کد و دواپس جهان تایید کرد، که حدود 3800 مخزن کد این شرکت به  به سرقت رفته است.علت این حادثه آلوده شدن سیستم یکی از کارمندانش به دلیل نصب  یک افزونه مخرب  VS Code بوده است. طبق ارزیابی های اولیه این پلتفرم که تحت مالکیت مایکروسافت است. فعالیت مهاجمان صرفا  به استخراج داده از مخازن داخلی محدود بوده و در حال حاضر شواهدی مبنی‌بر سرقت اطلاعات یا کدهای مشتریان وجود ندارد.

فرایند پاسخ به حادثه گیت‌هاب

گیت‌هاب سریعا به منظور کاهش خطرات احتمالی بلافاصله نسخه‌ی مخرب افزونه را حذف کرد و دستگاه آلوده را ایزوله نمود و فرآیند واکنش به حادثه را آغاز کرد.همچنین این پلتفرم فرایند عملیات تغییر و چرخش کلیدهای امنیتی را با اولویت‌دهی به حساب‌ها و کلیدهایی که بیشترین سطح دسترسی و تأثیرگذاری را داشتند، شروع کرد.

 این شرکت تأکید کرده است که به بررسی لاگ‌ها و نظارت بر هرگونه فعالیت مشکوک پس‌از نفوذ ادامه می‌دهد و گزارش کامل و جامع حادثه را پس از اتمام تحقیقات منتشر خواهد کرد. اگرچه گیت‌هاب در ابتدا نام افزونه را فاش نکرد، اما تحقیقات نشان داد که افزونه مورد نظر Nx Console با نسخه 18.95.0 بوده است . این افزونه بیش از ۲.۲ میلیون نصب داشته و دارای نشان تأییدیه بوده است.

پشت پرده‌ی حمله‌ی سایبری به گیت‌هاب

اگرچه گیت‌هاب هنوز عامل حمله را به طور رسمی معرفی نکرده است، اما گروه هکری TeamPCP با انتشار پستی در انجمن سایبری Breached، مسئولیت این نفوذ را پذیرفته است. این گروه که پیش‌تر بدافزار مخرب Shai-Hulud را در قالب یک پروژه متن‌باز در گیت‌هاب منتشر کرده و خسارات گسترده‌ای به بار آورده بود، و همچنین  قبلا در حملات گسترده به پلتفرم‌های توسعه نرم‌افزار از جمله PyPI، NPM و Docker ارتباط داشته و در کمپینی که طی آن به دو کارمند OpenAI حمله شد نیز نقش داشته است. مدعی شد که به حدود ۴,۰۰۰ مخزن کد خصوصی دسترسی دارد.

این گروه اعلام کرده است که قصد دارد داده‌های سرقت‌شده را به قیمت ۵۰,۰۰۰ دلار به فروش برساند. آنها صراحتاً اعلام کرده‌اند که این یک باج‌افزار یا باج‌گیری نیست و اگر خریداری برای کدها پیدا نشود، تمامی آنها را به صورت رایگان در اینترنت فاش خواهند کرد. البته کارشناسان امنیتی هشدار می‌دهند که باید با احتیاط به چنین ادعاهایی از سمت گروه‌های هکری نگاه کرد.

علاوه بر مشکلات امنیتی، گیت‌هاب اخیراً با افت پایداری سرویس‌ها نیز روبرو بوده که بخشی از آن به دلیل هجوم ربات‌های هوش مصنوعی برای استخراج کدهای عمومی رخ داده است.

حمله به گیت‌هاب تنها یک زنگ خطر نیست؛ بلکه بخشی از یک الگوی نگران‌کننده است. بدافزار پیشرفته‌ای به نام GlassWorm که بیش از ۴۳۳ کامپوننت را در پلتفرم‌های مختلف آلوده کرده است، دقیقاً مانند همان افزونه‌ای که به گیت‌هاب نفوذ کرد، افزونه‌های VS Code را هدف قرار می‌دهد.

آیا کدهای خصوصی شما در امان هستند؟

گیت‌هاب سعی دارد به کاربران اطمینان بدهد، اما واقعیت این است که بزرگ‌ترین نگرانی هنوز پابرجاست: آیا مخازن خصوصی ما اکنون یا در آینده در خطر هستند؟ این نگرانی وقتی جدی‌تر می‌شود که تصور کنیم هکرها ممکن است با استفاده از اطلاعات به سرقت رفته، برای خود جای‌پایی در سیستم‌ها ایجاد کرده باشند.

برای هر سازمانی، نشت کدهای تجاری و لو رفتن کلیدهای امنیتی یک کابوس تمام‌نشدنی است. قانون طلایی برنامه‌نویسی واضح می‌گوید: “هرگز کلیدهای امنیتی را در مخازن آپلود نکنید.” اما واقعیت تلخ این است که بسیاری از شرکت‌ها دقیقاً در همان مخازن خصوصی، این قانون را نادیده می‌گیرند.

این رویداد بار دیگر نشان داد که در دنیای توسعه نرم‌افزار، یک افزونه به‌ظاهر بی‌خطر می‌تواند به قیمت لو رفتن هزاران مخزن کد تمام شود. حتی بزرگ‌ترین پلتفرم میزبانی کد جهان نیز از تیررس حملات زنجیره تأمین مصون نیست.

گیت‌هاب وعده داده است که تحقیقات در این باره ادامه دارد و تدابیر امنیتی بیشتری اتخاذ خواهد شد. اما شاید مهم‌ترین درس این حادثه برای توسعه‌دهندگان و سازمان‌ها این باشد: هیچ پلتفرمی، هرقدر هم بزرگ و معتبر، به تنهایی کافی نیست. آگاهی از خطرات، بازبینی مداوم ابزارهای مورد استفاده، و هرگز اعتماد کورکورانه به افزونه‌ها و پکیج‌های شخص ثالث، امروز بیش از هر زمان دیگری به یک ضرورت تبدیل شده است.