GitHub tem 3.800 repositórios internos roubados após ataque via VS Code
Extensão maliciosa instalada por funcionário permitiu exfiltração de dados e comprometimento do SDK Python da Microsoft pelo grupo TeamPCP.
Pontos principais
- O grupo de ameaças TeamPCP (UNC6780) é apontado como responsável pela invasão e por campanhas de malware em cadeia de suprimentos.
- O ataque utilizou uma extensão comprometida do VS Code para exfiltrar credenciais e acessar infraestruturas em nuvem.
- O SDK Python 'durabletask' da Microsoft foi afetado, permitindo o roubo de tokens de acesso.
- O worm 'Mini Shai-Hulud' foi utilizado para falsificar certificados de assinatura e validar pacotes maliciosos.
O GitHub confirmou o roubo de aproximadamente 3.800 repositórios internos após um funcionário instalar uma extensão maliciosa no VS Code. A ação faz parte de uma campanha coordenada pelo grupo TeamPCP, que tem explorado vulnerabilidades na cadeia de suprimentos de software para obter acesso a ambientes corporativos. O incidente incluiu o comprometimento do SDK Python da Microsoft, permitindo que os atacantes exfiltrassem tokens sensíveis e acessassem infraestruturas em nuvem. O uso do worm 'Mini Shai-Hulud' permitiu a criação de certificados de assinatura falsos, contornando mecanismos de segurança tradicionais. Especialistas em cibersegurança alertam que o episódio destaca a fragilidade das configurações de confiança em ferramentas de desenvolvimento e recomendam a rotação imediata de segredos, além da adoção de análise comportamental rigorosa para identificar atividades suspeitas em ambientes de rede.
Tópicos relacionados
Comentários
Carregando comentários...
