Керівництво сервісу GitHub оприлюднило технічні деталі інциденту безпеки, який призвів до несанкціонованого доступу зловмисників до 3800 внутрішніх сховищ вихідного коду компанії. Згідно з офіційною заявою директора з інформаційної безпеки, компрометація внутрішніх систем відбулася через те, що один із штатних розробників платформи встановив шкідливу версію популярного розширення Nx Console для середовища розробки Visual Studio Code. Це підроблене розширення потрапило на комп’ютер співробітника внаслідок глобальної атаки на ланцюг постачання програмного забезпечення через офіційний каталог інструментів npm під назвою TanStack. За даними розслідування, за цією операцією стоїть кіберзлочинна група TeamPCP, яка спеціалізується на викраденні облікових даних із систем автоматизації розробки за допомогою підробки цифрових пакетів та розширень, що маскуються під легітимний софт.

Атака розпочалася з компрометації десятків компонентів для розробки інтерфейсів, після чого хакери використали вкрадені сертифікати доступу для модифікації Nx Console – інструменту, який розробники використовують для керування великими проектами без постійного введення текстових команд у терміналі. Після активації шкідливого плагіна на пристрої інженера, зловмисники отримали повний контроль над його обліковим записом і вивантажили приватні файли архітектури GitHub. Технічні аналітики компанії підтвердили, що скомпрометований робочий пристрій було оперативно ізольовано від корпоративної мережі, а інженери безпеки здійснили екстрену зміну та відкликання всіх критичних цифрових ключів і паролів. Наразі ознак витоку персональних даних користувачів або систем керування хмарною інфраструктурою самого сервісу GitHub поза межами постраждалих репозиторіїв не виявлено.