GitHub conferma che un dipendente ha installato un'estensione dannosa nel suo editor di codice, permettendo l'accesso a migliaia di repository aziendali. Il caso rivela quanto sia fragile la sicurezza degli ambienti di sviluppo.

Un'estensione VS Code ha violato 3.800 repository interni di GitHub

Un dipendente di GitHub ha installato quello che sembrava un normale plugin per Visual Studio Code. In realtà era una trappola. L'estensione, carica di codice malevolo, ha aperto le porte a un gruppo di hacker che ha scaricato circa 3.800 repository interni dell'azienda, incluso il codice sorgente della piattaforma stessa. GitHub ha confermato l'incidente il 20 maggio, rivelando uno dei rischi più sottovalutati della sicurezza informatica moderna: la fiducia che riponiamo nei piccoli strumenti che usiamo ogni giorno.

Chi

GitHub è la piattaforma di hosting per il codice sorgente più usata al mondo, di proprietà di Microsoft. Ospita oltre 420 milioni di repository pubblici e privati per più di 180 milioni di sviluppatori, incluse il 90% delle aziende della Fortune 100. L'attacco è stato rivendicato da TeamPCP, un gruppo di hacker noto per campagne sofisticate contro ecosistemi open source, che ha già preso di mira piattaforme come PyPI, NPM e Docker.

Cosa è successo

Il 19 maggio, i sistemi di sicurezza di GitHub hanno rilevato il compromesso di un dispositivo aziendale. La causa: un'estensione di VS Code, l'editor di codice open source di Microsoft, installata da un dipendente. L'estensione conteneva codice trojanizzato, progettato per rubare credenziali e accessi.

Una volta attivata, ha permesso agli attaccanti di accedere ai repository interni di GitHub. "Abbiamo rilevato e contenuto il compromesso del dispositivo di un dipendente coinvolgente un'estensione VS Code avvelenata. Abbiamo rimosso la versione malevola dell'estensione, isolato l'endpoint e avviato immediatamente la risposta all'incidente", ha dichiarato GitHub in un comunicato ufficiale.

Secondo l'indagine interna, il numero di repository compromessi è circa 3.800. TeamPCP, che ha rivendicato l'attacco sul forum sotterraneo Breached, parla di "~4.000 repository di codice privato" e chiede almeno 50.000 dollari per i dati rubati. Tuttavia, il gruppo ha precisato che non si tratta di un vero ricatto: "Non ci importa di estorcere GitHub. Un solo acquirente e cancelliamo i dati. Sembra che il nostro ritiro sia imminente, quindi se nessun acquirente viene trovato, li pubblicheremo gratuitamente".

GitHub ha riferito che i segreti critici sono stati ruotati (cioè rigenerati) immediatamente dopo la scoperta, con priorità ai credenziali a più alto impatto. L'azienda continua ad analizzare i log e monitorare per eventuali attività successive.

Perché è importante

Questo incidente rivela una vulnerabilità strutturale negli ambienti di sviluppo moderni. VS Code Marketplace, il negozio ufficiale di estensioni di Microsoft, ospita migliaia di plugin. Chiunque può pubblicare un'estensione, e anche se Microsoft applica controlli, è impossibile verificare il codice di ogni plugin prima che raggiunga gli sviluppatori.

Il rischio non è nuovo, ma il fatto che abbia colpito GitHub — l'azienda che gestisce la sicurezza del codice di milioni di altre aziende — amplifica il messaggio: nessuno è immune. Se un dipendente di GitHub può installare un'estensione malevola, lo stesso può accadere a chiunque.

Secondariamente, l'incidente conferma che TeamPCP è un attore sofisticato e persistente. Il gruppo è già stato collegato alla campagna "Mini Shai-Hulud", che ha compromesso anche dipendenti di OpenAI. Usa l'automazione per trasformare strumenti di sviluppo compromessi in macchine per il furto di credenziali.

Per fortuna, GitHub ha dichiarato che non c'è evidenza di impatto ai dati dei clienti archiviati al di fuori dei repository interni (come le enterprise, organizzazioni e repository dei clienti). Tuttavia, il danno reputazionale è significativo: il codice sorgente di GitHub, incluso quello di GitHub Copilot (l'assistente AI per la codifica), è stato esposto.

Cosa aspettarsi

GitHub ha promesso di pubblicare un rapporto dettagliato una volta completata l'indagine. Nel frattempo, gli sviluppatori dovrebbero verificare le loro credenziali e chiavi API, specialmente se archiviate in repository privati. Changpeng Zhao, fondatore di Binance, ha consigliato pubblicamente: "Se avete chiavi API nel vostro codice, anche in repo privati, è il momento di controllarle e cambiarle".

Da osservare:

  • Azioni di Microsoft: come reagirà il team di VS Code a questo incidente? Potremmo aspettarci controlli più severi per le estensioni pubblicate su Marketplace.
  • Risposta di TeamPCP: il gruppo troverà un acquirente per i dati rubati, oppure li pubblicherà gratuitamente come minacciato? Questo potrebbe influire sulla sicurezza di altre organizzazioni.
  • Reazioni normative: questo incidente potrebbe accelerare discussioni su standard di sicurezza per i marketplace di software.
  • Comportamento dei dipendenti: le aziende probabilmente intensificheranno la formazione sulla sicurezza e i controlli su quali estensioni possono essere installate.

L'incidente arriva a pochi giorni da un attacco simile a Grafana Labs, dove malintenzionati hanno compromesso repository GitHub e scaricato il codice sorgente. Non è una coincidenza: gli ecosistemi di sviluppo sono diventati bersagli sempre più appetibili perché controllano l'accesso a infrastrutture critiche.

📰 Fonti

  1. BleepingComputerGitHub confirms breach of 3,800 repos via malicious VSCode extension
  2. bleepingcomputer.comGitHub confirms breach of 3,800 repos via malicious VSCode extension
  3. infosecurity-magazine.comGitHub Confirms Breach of Internal Repositories Via Malicious VS Code Extension
  4. bleepingcomputer.comGitHub investigates internal repositories breach claimed by TeamPCP
  5. cointelegraph.comGitHub investigates unauthorized access to internal repositories
  6. reddit.com3800 Internal Repositories Stolen via Malicious VS Code Extension