GitHub ha svelato nuovi dettagli sul furto dei circa 3.800 repository interni avvenuto due giorni fa. L’azienda (sussidiaria di Microsoft dal 2018) ha svelato il nome dell’estensione VS Code, installata da un dipendente, che ha permesso l’accesso remoto. Un report completo verrà pubblicato al termine dell’indagine.
Intrusione con versione infetta di Nx Console
L’attacco è stato effettuato dal gruppo TeamPCP. Un cybercriminale ha messo in vendita sul forum Breached i circa 3.800 repository che contengono il codice sorgente interno di GitHub. L’azienda di San Francisco non ha confermato gli autori, ma ha svelato il nome dell’estensione utilizzata per l’accesso non autorizzato: Nx Console.
In seguito all’attacco supply chain è stata pubblicata sul marketplace di Visual Studio e su OpenVSX una versione infetta (18.95.0) dell’estensione, come specificato dagli sviluppatori. L’estensione è stata rimossa dal marketplace di Visual Studio circa 18 minuti dopo, mentre da OpenVSX circa 36 minuti dopo.
La versione infetta di Nx Console distribuita tramite il marketplace di Visual Studio è stata installata da un dipendente di GitHub. I cybercriminali hanno quindi rubato le credenziali che permettevano l’accesso ai repository interni. Alexis Wales (Chief Information Security Officer) di GitHub ha comunicato che alcuni repository contenevano estratti delle interazioni di alcuni clienti con il team di supporto. Gli interessati sono stati contattati.
L’azienda californiana ha cambiato tutte le credenziali per limitare i rischi. L’indagine proseguirà per individuare eventuali altre azioni effettuate dai cybercriminali. Al termine verrà pubblicato un report dettagliato. Il gruppo TeamPCP è responsabile di numerosi attacchi supply chain contro altre piattaforme, tra cui PyPI, npm e Docker. Hanno anche ottenuto l’accesso ad un account AWS della Commissione europea.
Ti potrebbe interessare
21 mag 2026