GitHub kertoo, että hakkeroija varasti koodia noin 3 800:sta sen sisäisestä repositoriosta asentamalla haitallisen liitännäisen yhden työntekijän tietokoneelle. Tapauksen myötä kryptoteollisuudessa nousi huoli siitä, kuinka turvallisesti API-avaimia säilytetään koodissa.
Binancen perustaja Changpeng Zhao kehotti kehittäjiä tarkistamaan jokaisen projektin piilotettujen avainten varalta ja vaihtamaan ne. Hän varoitti, että jopa yksityisiä repoja tulisi nyt pitää paljastuneina.
Yrityksen ilmoittamat tiedot
GitHubin mukaan tietomurto alkoi, kun työntekijä asensi haitallisen version VS Code -lisäosasta, joka on pieni laajennus miljoonien ohjelmoijien käyttämään koodieditoriin.
Yritys eristi haittaohjelman saastuttaman tietokoneen, poisti vaarallisen lisäosan ja alkoi yöllä vaihtaa kriittisiä salasanoja. Korkeimman riskin käyttöoikeudet vaihdettiin ensimmäisenä.
Tällä hetkellä tutkimukset viittaavat siihen, että hakkeroija sai haltuunsa vain GitHubin oman sisäisen koodin. Asiakkaiden projektit, organisaatiot ja tilit eivät ole osoittaneet altistumisen merkkejä.
GitHub totesi, että hyökkääjän väite noin 3 800 varastetusta repositoriosta vastaa sen oman tiimin havaintoja. Tarkempi raportti julkaistaan, kun tutkinta valmistuu.
Miksi kryptokehittäjät ovat varuillaan
Kryptovaluuttamaailmassa vuotanut API-avain voi tyhjentää kaupankäyntitilin minuuteissa. Monet avaimet avaavat pääsyn myös lompakoihin, säilytystyökaluihin tai pörssibotteihin. Tästä syystä CZ antoi nopean varoituksen seuraajilleen.
Ala on kokenut samankaltaisia tapauksia aiemminkin. Alkuvuonna tapahtunut tietomurto infrastruktuuripalvelu Vercelillä pakotti tiimit vaihtamaan avaimia. 3Commasin tietovuoto vuonna 2022 paljasti noin 100 000 käyttäjän avaintiedot.
Erillisessä toimitusketjuhyökkäyksessä Bitwarden-salasanamanageriin varastettiin lompakoiden siemeniä ja kehittäjätokeneita. Varastettu tieto piilotettiin tämän jälkeen GitHub-repositorioon.
Kehittäjät jättävät usein yksityisiä avaimia koodiin, rakennusskripteihin tai piilotettuihin konfiguraatiotiedostoihin, olettaen että ulkopuoliset eivät pääse niihin käsiksi. GitHubin tapaus osoittaa, että myös sisäiset järjestelmät voivat pettää samalla tavalla kuin julkiset.
GitHub sanoo tiiminsä käyvän edelleen lokitietoja läpi. Selviää paremmin tulevina päivinä, löytyykö varastetuista reporitorioista sellaista koodia tai salaisuuksia, joilla olisi yhteys kryptoinfraan.
