GitHub confirma comprometimento de 3.800 repositórios por meio de extensão maliciosa do VSCode

 (bleepingcomputer.com)
1 pontos por GN⁺ 2 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Cerca de 3.800 repositórios internos do GitHub foram comprometidos após um funcionário instalar uma extensão maliciosa do VS Code, e a avaliação atual limita o escopo do vazamento aos repositórios internos
  • O GitHub removeu a extensão trojanizada do VS Code Marketplace e isolou os endpoints infectados, iniciando resposta imediata ao incidente
  • O TeamPCP afirma ter acessado o código-fonte do GitHub e cerca de 4.000 repositórios de código privado, exigindo pelo menos US$ 50 mil pelos dados roubados
  • As extensões do VS Code são plugins instalados pela loja oficial, mas já foram encontrados anteriormente extensões para roubo de credenciais, mineradores, funções de ransomware e roubo de criptomoedas
  • O GitHub afirmou não haver evidências de violação de dados de clientes fora dos repositórios afetados, e a plataforma é usada por mais de 180 milhões de desenvolvedores

Confirmação do comprometimento no GitHub e resposta

  • O GitHub confirmou que cerca de 3.800 repositórios internos foram comprometidos após um funcionário instalar uma extensão maliciosa do VS Code
  • A extensão trojanizada, cujo nome não foi divulgado, foi removida do VS Code Marketplace, e o dispositivo comprometido foi protegido
  • Em uma publicação no X, o GitHub afirmou que “detectou e bloqueou o comprometimento de um dispositivo de funcionário relacionado a uma extensão contaminada do VS Code”, informando a remoção da versão maliciosa da extensão, o isolamento dos endpoints e o início imediato da resposta ao incidente
  • A avaliação atual limita o escopo da atividade ao vazamento de repositórios internos do GitHub, e a escala de cerca de 3.800 repositórios alegada pelos atacantes corresponde em grande parte aos resultados da investigação
  • No dia anterior, o GitHub informou ao BleepingComputer que estava investigando a alegação de acesso não autorizado a repositórios internos e acrescentou que não há evidências de comprometimento de dados de clientes armazenados fora dos repositórios afetados

Alegações do TeamPCP e riscos de extensões do VS Code

  • O grupo hacker TeamPCP afirmou no fórum de cibercrime Breached ter acessado o código-fonte do GitHub e “cerca de 4.000 repositórios de código privado”, exigindo pelo menos US$ 50 mil pelos dados roubados
  • O TeamPCP disse que “não se trata de ransomware e não tem interesse em extorquir o GitHub”, acrescentando que venderá os dados a um único comprador e depois apagará o material em sua posse
  • O TeamPCP já foi ligado a ataques em larga escala à cadeia de suprimentos contra plataformas de código para desenvolvedores, incluindo GitHub, PyPI, NPM, e Docker
  • O TeamPCP também foi relacionado recentemente à campanha de supply chain “Mini Shai-Hulud”, que também afetou dois funcionários da OpenAI
  • As extensões do VS Code são plugins instalados pela loja oficial VS Code Marketplace para adicionar recursos ou integrar ferramentas ao editor de código da Microsoft
  • No VS Code Marketplace, extensões maliciosas que roubam credenciais de desenvolvedores e dados sensíveis já foram descobertas repetidamente no passado
  • No ano passado, extensões do VSCode com 9 milhões de instalações foram removidas por riscos de segurança, e 10 extensões disfarçadas de ferramentas legítimas de desenvolvimento infectaram usuários com o minerador de criptomoeda XMRig
  • Depois disso, uma extensão maliciosa com funções básicas de ransomware apareceu no VS Code Marketplace, e o agente de ameaça WhiteCobra registrou 24 extensões para roubo de criptomoedas
  • Em janeiro deste ano, duas extensões maliciosas, promovidas como assistentes de programação com IA e somando 1,5 milhão de instalações, exfiltraram dados de sistemas de desenvolvedores infectados para servidores na China
  • A plataforma em nuvem do GitHub é usada atualmente por mais de 4 milhões de organizações, 90% da Fortune 100 e mais de 180 milhões de desenvolvedores, que contribuem para mais de 420 milhões de repositórios de código

Leituras relacionadas

1 comentários

 
GN⁺ 2 시간 전
Opiniões no Hacker News

  • Seria ótimo se a empresa que criou o VSCode, a empresa que tem o NPM e a empresa que tem o GitHub conseguissem se sentar juntas para encontrar uma solução para esse problema

    • Isso mostra perfeitamente por que a charge do organograma da Microsoft está certa

      https://bonkersworld.net/organizational-charts

    • Certamente não foi por falta de avisos sobre esse risco tão óbvio

      https://github.com/microsoft/vscode/issues/52116

    • A Microsoft também é a empresa que tem o NuGet

      Se olhar o que fizeram há 1 ano, removeram preventivamente cerca de 700 pacotes do NuGet e no fim eram falsos positivos
      Fazer a coisa certa não é fácil

    • Sem brincadeira, esses ecossistemas foram basicamente projetados desde o início como lixeiras vulneráveis a comprometimento
      Se for um ecossistema totalmente aberto, onde contribuições não passam por revisão rigorosa, tudo fica exposto a esse tipo de problema
      Se não gosta disso, não use extensões de editor e use um editor que tenha sido auditado de verdade

      Usar extensões, pacotes node ou pacotes PyPI sem examiná-los com cuidado é acumular dívida técnica
      É assumir risco para lançar rápido, e depois ter de pagar de forma controlada ou arcar com isso quando os juros chegarem

  • As extensões do VS Code sempre foram assustadoras e uma superfície de ataque extremamente óbvia
    O VSCode fica mostrando pop-ups para instalar extensões dizendo que reconheceu um formato específico de arquivo, e essas extensões parecem ser meio a meio entre pertencentes a empresas e a desenvolvedores quaisquer
    Mesmo entre extensões com milhões de instalações, algumas à primeira vista parecem ser extensões oficiais de empresas
    Hoje em dia tento instalar apenas extensões oficiais de empresas, mas é amargo perceber que nem disso dá para ter certeza

    • Esse problema vai muito além do VS Code
      Toda extensão e todo código executável têm o mesmo problema
      Também houve o caso da Disney ser hackeada porque um funcionário instalou um mod do BeamNG com malware

      Qualquer empresa que queira manter segurança precisa impor restrições rígidas à instalação de software
      Por exemplo, permitir internamente apenas pacotes npm e plugins vindos de repositórios pré-aprovados

    • Continuei usando Sublime mesmo sendo frequentemente ridicularizado pelos viciados em VSCode
      É divertido ver acontecer com quem acreditava sem senso crítico que “o VSCode é perfeito”

    • Eu também fiquei parecido paranoico e cuidadoso com extensões do VSCode
      Lembro de quando bastava usar algumas extensões confiáveis, necessárias para desenvolvimento, em IDEs como Brackets, JetBrains, Sublime Text e Bluefish
      Agora parece que, seja lá o que você faça, alguém ou alguma empresa já criou uma extensão dedicada só para aquela tarefa

      Agora tento fazer o máximo possível com o mínimo de extensões
      E junto com isso também quero tirar o resto do meu código do GitHub

    • Para um fornecedor que teve a ideia de tirar screenshots da área de trabalho a cada poucos segundos, rodar OCR e salvar o resultado em texto puro sem criptografia no disco, dá para esperar mais ou menos esse nível de segurança de software

    • E ainda por cima todas essas extensões querem atualizar automaticamente

  • O mais surpreendente é que os hackers encontraram uma janela de disponibilidade longa o bastante para fazer isso

    • Para quem não entendeu a piada: desde que a Microsoft adquiriu o GitHub, ele tem tido cada vez mais dificuldade para operar com estabilidade por conta própria

      Mais recentemente, com o aumento do downtime, isso piorou ainda mais e até virou notícia

  • Tópico relacionado anterior:

    GitHub is investigating unauthorized access to their internal repositories - https://news.ycombinator.com/item?id=48201316 - maio de 2026, 321 comentários

  • Estou curioso se a extensão nx console que me pegou ontem foi a comprometida
    O timing parece quase idêntico
    Veja https://github.com/nrwl/nx-console/security/advisories/GHSA-...

  • Espero que isso leve a Microsoft a adicionar um sistema explícito de permissões para extensões do VS Code e a melhorar a segurança dos development containers

    • Eu preferiria que isso levasse os usuários, neste caso desenvolvedores e mantenedores, a reduzir a dependência da Microsoft e especialmente a parar de terceirizar sua segurança para a Microsoft

      Agora é hora de sair do vscode

    • Não tenho muitas esperanças
      Esse issue está aberto desde 2018: https://github.com/microsoft/vscode/issues/52116

  • O VS Code foi construído sobre Electron, e o Electron tinha ou tem um helper de sandbox SUID, então a sandboxização é um problema complicado
    Porque não dá para executar facilmente binários SUID dentro de uma sandbox
    Em Linux, sandboxing é uma tarefa extremamente difícil

    • Ver mensagens do tipo “para a sandbox funcionar, dê SUID Root ao Chrome” dá uma sensação muito ruim
      Configurar SUID Root para um navegador web antigamente era uma piada para zoar usuários inexperientes, e um dos piores erros de segurança imagináveis
    • Então não se deveria construir uma IDE sobre Electron
    • O podman parece lidar bem com namespaces sem root
      Há um pequeno overhead de desempenho, mas não é o fim do mundo

  • Posso estar deixando passar algo muito óbvio, mas 3.800 repositórios realmente impressiona
    Não imaginava que fossem tantos

    • Como outros disseram, isso é só uma parte
      Trabalho numa empresa de tecnologia de porte médio e há mais de 7.500 repositórios em uma única organização do GitHub
      São duas organizações, então passa facilmente de 10 mil no total
      Claro que a maioria é antiga, abandonada, sandbox ou ferramenta pessoal
      Se fosse o GitHub, eu não ficaria surpreso se houvesse 100 mil repositórios internos ou até mais

    • Já trabalhei numa empresa que tinha pelo menos 5.000 repositórios espalhados por cinco ou seis organizações do GitHub, e ainda havia mais código no Perforce

      Havia experimentos antigos, claro, mas a empresa atuava em várias frentes e alguns departamentos não se importavam em criar mais um serviço para resolver um único problema

      As coisas antigas do meu departamento com certeza foram arquivadas
      Tínhamos 8 repositórios, e para três pessoas isso já parecia mais do que suficiente

    • A Uber certa vez tinha 8.000 repositórios para 2.000 engenheiros - https://highscalability.com/lessons-learned-from-scaling-ube...

    • Já trabalhei numa rede de varejo alimentício
      No primeiro dia, pensei que, visto de fora, parecia apenas um site simples, então não devia ser tão complicado
      Mas o site de pedidos era o resultado da junção de mais de 300 repositórios
      Ainda assim era menos do que o GitHub perdeu nesse comprometimento
      Quanto maior a escala, mais esforço é preciso para manter a simplicidade

    • Uma das coisas de que eu sempre gostei ao trabalhar no GitHub é que grande parte da empresa realmente opera em cima do GitHub
      Até equipes não técnicas frequentemente têm seus próprios repositórios para organizar documentos/SOPs/designs, do mesmo modo que uma empresa tradicional de trabalho intelectual usaria SharePoint

  • Há várias maneiras de fazer algo em open source

    • Se você quisesse fazer denúncia interna ou vazar informação privada, isso poderia ser um método bem bom
      Em vez de executar um script de forma descarada com a sua própria conta de usuário, você poderia fazer upload anônimo com um plugin que mistura scraping com uma função inútil
      Por exemplo, algo como dizer se um número de ponto flutuante é par
      Claro que não existem números assim
      Depois é só executar e fingir que foi vítima

  • “Ontem detectamos e bloqueamos um comprometimento em dispositivos de funcionários relacionado a uma extensão contaminada do VS Code. Removemos a versão maliciosa da extensão, isolamos os endpoints e iniciamos imediatamente a resposta ao incidente”

    Ah, ótimo, removeram a extensão
    Foi só depois de um funcionário ser infectado que fizeram isso?
    E por que não dizem qual é o nome da extensão?