Nhóm tin tặc TeamPCP đánh cắp 3.800 kho mã nguồn nội bộ GitHub, rao bán 50.000 USD sau khi nhân viên cài tiện ích VS Code nhiễm mã độc.
GitHub hôm thứ Ba xác nhận khoảng 3.800 kho mã nguồn nội bộ đã bị đánh cắp sau khi một nhân viên vô tình cài đặt một tiện ích mở rộng Visual Studio Code chứa mã độc. Đây là vụ xâm phạm bảo mật nghiêm trọng nhất nhắm vào nền tảng phát triển phần mềm này trong nhiều năm trở lại đây và là lời cảnh báo về một véc-tơ tấn công đang ngày càng được các nhóm tin tặc tinh vi khai thác: chuỗi cung ứng công cụ phát triển phần mềm.
Sự cố bắt đầu từ một điểm yếu quen thuộc trong bảo mật doanh nghiệp: yếu tố con người. Tiện ích mở rộng độc hại được phân phối qua kho tiện ích chính thức của Microsoft, tức là không yêu cầu người dùng truy cập nguồn bên ngoài, và được thiết kế để âm thầm trích xuất dữ liệu sau khi cài đặt.
GitHub cho biết đã phát hiện và kiểm soát vụ xâm phạm, gỡ bỏ tiện ích độc hại, cô lập thiết bị đầu cuối và ngay lập tức kích hoạt quy trình ứng phó sự cố. Trong đêm phát hiện, công ty đã thay đổi các thông tin xác thực quan trọng, ưu tiên các bí mật xác thực có mức độ rủi ro cao nhất.
Vụ tấn công mở ra câu hỏi về bảo mật chuỗi cung ứng phần mềm toàn cầu
GitHub khẳng định vụ xâm nhập chỉ ảnh hưởng đến các kho mã nguồn nội bộ, không có dữ liệu khách hàng lưu trữ bên ngoài các kho này bị tác động. Tuy nhiên, công ty thừa nhận một số kho nội bộ có chứa thông tin từ khách hàng, chẳng hạn các trích đoạn tương tác hỗ trợ, và cam kết thông báo nếu phát hiện bất kỳ tác động nào.
Với quy mô hơn 180 triệu lập trình viên tại hơn 4 triệu tổ chức, bao gồm 90% công ty trong danh sách Fortune 100, phạm vi lo ngại tiềm tàng là rất rộng dù sự cố được khoanh vùng.
Nhóm tin tặc TeamPCP đã nhận trách nhiệm trên Breached, một diễn đàn tội phạm mạng, tuyên bố đang nắm giữ khoảng 4.000 kho mã nguồn riêng tư và rao bán với giá tối thiểu 50.000 USD, đồng thời cung cấp mẫu dữ liệu cho những người mua đã được xác minh. Đáng lo ngại hơn, nhóm này được cho là tuyên bố sẽ rò rỉ dữ liệu công khai nếu không tìm được người mua, một chiến thuật gây áp lực tâm lý ngay cả khi không phải tống tiền trực tiếp.
Hồ sơ của TeamPCP khiến vụ việc này không thể xem là sự cố đơn lẻ. Các nhà nghiên cứu bảo mật đã liên hệ nhóm này với các cuộc tấn công chuỗi cung ứng nhắm vào GitHub, PyPI, NPM và Docker, chiến dịch mã độc Shai-Hulud đang hoạt động, cùng một chiến dịch riêng biệt được cho là đã xâm phạm phần mềm liên quan đến nhân viên của OpenAI và Mistral AI.
Mô hình tấn công nhất quán, nhắm vào công cụ phát triển thay vì hệ thống sản xuất, cho thấy một chiến lược có tính toán: nếu kiểm soát được môi trường mà lập trình viên dùng để viết mã, kẻ tấn công có thể tiếp cận toàn bộ chuỗi phần mềm downstream mà không cần vượt qua tường lửa hay hệ thống phát hiện xâm nhập truyền thống.
