GitHub 내부 레포지토리, 직원이 악성 VS Code 확장 프로그램 사용으로 침해

Source: Slashdot

사건 개요

오래된 Slashdot 독자 Himmy32가 GitHub이 X(구 트위터)에서 내부 저장소가 직원 워크스테이션에 설치된 악성 VS Code 확장 프로그램을 통해 침해당했다고 발표했다고 전했습니다. Bleeping Computer는 이번 공격을 TeamPCP라는 위협 그룹과 연결했으며, 이 그룹은 최근 Checkmarx, Trivy, SAP, TanStack, Bitwarden 등을 표적으로 삼았습니다. 해당 그룹은 도난당한 코드를 사이버 범죄 포럼에서 판매하려는 것으로 보입니다.

공격 상세

• 악성 VS Code 확장 프로그램이 직원의 장치에 설치되었습니다.
• GitHub은 침해를 감지하고 차단했으며, 악성 확장 프로그램 버전을 제거하고, 해당 엔드포인트를 격리한 뒤 즉시 사고 대응을 시작했습니다.
• 공격자는 GitHub 내부 저장소만을 탈취했습니다.
• 공격자가 주장한 약 3,800개 저장소는 현재까지 GitHub의 조사와 일치합니다.

GitHub의 대응

“어제 우리는 직원 장치에서 독성 VS Code 확장 프로그램이 포함된 침해를 감지하고 차단했습니다. 악성 확장 프로그램 버전을 제거하고, 엔드포인트를 격리했으며, 즉시 사고 대응을 시작했습니다.”라고 회사는 밝혔습니다.
“현재 우리의 평가에 따르면 이번 활동은 GitHub 내부 저장소만을 탈취한 것으로 보입니다. 공격자가 현재 주장하는 약 3,800개 저장소는 지금까지 우리의 조사와 방향성이 일치합니다.”

영향

• GitHub은 내부 저장소 외부에 저장된 고객 정보에 영향이 없다는 증거가 있다고 밝혔습니다.
• 회사는 해커와 접촉 중인지, 혹은 몸값 요구를 받았는지에 대해서는 공개하지 않았습니다.