GitHub oplyser, at en hacker har stjålet kode fra cirka 3.800 af selskabets interne repositories efter at have lagt et inficeret plugin på en medarbejders computer, hvilket har vakt bekymring i kryptoindustrien om sikkerheden for API-nøgler, der gemmes i kode.
Binance-stifter Changpeng Zhao opfordrede udviklere til at tjekke alle projekter for skjulte nøgler og udskifte dem, og advarede om, at selv private repositories nu bør betragtes som kompromitterede.
Hvad virksomheden har offentliggjort
GitHub fortalte, at bruddet begyndte, da en medarbejder installerede en ondsindet version af en VS Code-udvidelse, et lille tilføjelsesprogram til en kodeeditor, som bruges af millioner af udviklere verden over.
Virksomheden isolerede den ramte computer, fjernede det skadelige plugin og begyndte straks at udskifte de kritiske adgangskoder i løbet af natten. De største risikokoder blev roteret først.
Indtil nu viser undersøgelsen, at hackeren kun har hentet kode fra GitHubs egne interne repositories. Der er ingen tegn på, at kunders projekter, organisationer eller konti er ramt.
GitHub oplyste, at hackerens påstand om cirka 3.800 stjålne repositories stemmer overens med, hvad deres eget team har fundet. En mere detaljeret rapport forventes, når undersøgelsen er afsluttet.
Hvorfor crypto-udviklere er ekstra opmærksomme
I krypto kan en blotlagt API-nøgle tømme en handels-konto på få minutter. Mange nøgler giver også adgang til wallets, forvaltningsværktøjer eller handelsrobotter. Derfor reagerede CZ hurtigt med en advarsel til sine følgere.
Sektoren har tidligere været ramt. Et angreb hos infrastrukturudbyderen Vercel tidligere i år tvang teams til at udskifte nøgler. 3Commas-lækagen i 2022 afslørede omkring 100.000 brugernøgler.
Et andet supply chain-angreb rettet mod Bitwarden password manager stjal wallet-seeds og udvikler-tokens. De stjålne data blev derefter gemt i GitHub repositories.
Udviklere lader ofte private nøgler ligge i kode, byg-scripts eller skjulte konfigurationsfiler, fordi de regner med, at ingen udefra kan få adgang. GitHub-sagen viser, at interne systemer kan brydes – ligesom offentlige.
GitHub har meldt ud, at deres team stadig gennemgår logfilerne. Om nogle af de stjålne repositories indeholder kode eller hemmeligheder relateret til kryptoinfrastruktur, bør komme frem i løbet af de kommende dage.
