کمیته رکن چهارم – گیتهاب اعلام کرد نفوذ اخیر به مخازن داخلی این شرکت در نتیجه compromise شدن دستگاه یکی از کارکنان و نصب نسخه آلوده افزونه Nx Console برای Visual Studio Code رخ داده است.
به گزارش کمیته رکن چهارم، این حمله به گروه TeamPCP نسبت داده شده و مهاجمان توانستهاند حدود ۳۸۰۰ مخزن داخلی GitHub را استخراج کنند. گیتهاب اعلام کرده تاکنون هیچ شواهدی مبنی بر دسترسی مهاجمان به مخازن مشتریان یا اطلاعات سازمانی کاربران مشاهده نشده، اما تحقیقات همچنان ادامه دارد.
بررسیها نشان میدهد افزونه آلوده مربوط به بسته nrwl.angular-console بوده که پس از compromise شدن سیستم یکی از توسعهدهندگان Nx آلوده شده است. شرکتهای OpenAI، Mistral AI و Grafana Labs نیز در جریان حملات زنجیره تأمین مرتبط با TanStack تحت تأثیر قرار گرفتهاند.
نسخه مخرب افزونه تنها ۱۸ دقیقه در Visual Studio Marketplace فعال بوده، اما همین مدت کوتاه برای توزیع بدافزار سرقت اطلاعات کافی بوده است. این بدافزار قادر به سرقت دادههای حساس از ۱Password، GitHub، npm، AWS و تنظیمات Claude Code بوده است.
پژوهشگران اعلام کردند افزونه در ظاهر رفتاری عادی داشته اما در پشتصحنه فرمانی مخفی اجرا میکرده که payload مخرب را از GitHub دریافت و اجرا میکرده است. کارشناسان هشدار دادهاند قابلیت auto-update در marketplace افزونهها میتواند در صورت compromise شدن یک افزونه، به ابزاری خطرناک برای توزیع سریع بدافزار تبدیل شود.
پیشزمینه
گروه TeamPCP طی ماههای اخیر به یکی از فعالترین گروههای مرتبط با حملات زنجیره تأمین نرمافزار تبدیل شده و پروژههای متنباز و ابزارهای توسعهدهندگان را هدف قرار داده است. این گروه معمولاً با آلودهسازی ابزارهای مورد اعتماد، credentialهای توسعهدهندگان را سرقت کرده و از آنها برای compromise کردن پروژههای بعدی استفاده میکند.
جمعبندی
این حادثه بار دیگر نگرانیها درباره امنیت زنجیره تأمین نرمافزار و وابستگی گسترده توسعهدهندگان به افزونهها و ابزارهای متنباز را افزایش داده است. کارشناسان توصیه میکنند سازمانها دسترسی افزونهها را محدود کرده، فرآیند auto-update را بازبینی کنند و اعتبارنامههای توسعهدهندگان را بهصورت مداوم پایش و تعویض کنند.
منبع: The Hacker News
