GitHub ha condiviso nuovi dettagli importanti sul furto del codice interno che ha coinvolto circa 3.800 repository aziendali. La vicenda, emersa pochi giorni fa, sta assumendo contorni sempre più definiti e chiama in causa una catena di eventi che parte da un’estensione compromessa di VS Code, installata da un dipendente della piattaforma. Un caso che mette in evidenza, ancora una volta, quanto sia sottile il confine tra fiducia negli strumenti di sviluppo e vulnerabilità reale.
Come è avvenuto l’attacco a GitHub
Il gruppo responsabile dell’operazione è TeamPCP, un collettivo già noto per aver colpito diverse piattaforme legate allo sviluppo software. Uno dei suoi membri ha messo in vendita sul forum Breached i circa 3.800 repository contenenti il codice sorgente interno di GitHub. L’azienda, che dal 2018 fa parte dell’ecosistema Microsoft, non ha confermato ufficialmente l’identità degli autori ma ha rivelato un elemento chiave: il nome dell’estensione sfruttata per ottenere l’accesso non autorizzato.
Si tratta di Nx Console, un’estensione piuttosto conosciuta tra gli sviluppatori. A seguito di un attacco supply chain, una versione infetta (la 18.95.0) è stata caricata sia sul marketplace di Visual Studio che su OpenVSX. La reazione è stata relativamente rapida: l’estensione compromessa è stata rimossa dal marketplace di Visual Studio in circa 18 minuti, mentre su OpenVSX ci sono voluti circa 36 minuti. Tempistiche non trascurabili, ma comunque sufficienti a causare danni significativi.
Ed è proprio quello che è successo. La versione infetta di Nx Console è stata installata da un dipendente di GitHub tramite il marketplace di Visual Studio. Da lì, i cybercriminali sono riusciti a sottrarre le credenziali di accesso ai repository interni dell’azienda. Un meccanismo semplice nella sua logica, ma devastante nelle conseguenze.
Le conseguenze del furto del codice interno
Alexis Wales, Chief Information Security Officer di GitHub, ha comunicato che tra i repository compromessi alcuni contenevano estratti delle interazioni con il team di supporto da parte di clienti della piattaforma. Le persone coinvolte sono già state contattate direttamente dall’azienda.
GitHub ha anche proceduto al cambio di tutte le credenziali interne per contenere i rischi e limitare eventuali ulteriori accessi non autorizzati. L’indagine è ancora in corso: l’obiettivo è capire se i cybercriminali abbiano compiuto altre azioni oltre al furto dei repository. Al termine delle verifiche verrà pubblicato un report completo con tutti i dettagli tecnici dell’incidente.
Quello che rende particolarmente preoccupante questa vicenda è il profilo del gruppo dietro l’attacco. TeamPCP non è nuovo a operazioni di questo tipo: è responsabile di numerosi attacchi supply chain che hanno preso di mira piattaforme come PyPI, npm e Docker. Al gruppo viene inoltre attribuito l’accesso a un account AWS della Commissione europea, un dettaglio che dà la misura della portata delle loro operazioni.
Il furto del codice interno di GitHub rappresenta un colpo significativo per un’azienda che ospita milioni di progetti software in tutto il mondo. La pubblicazione del report finale sarà fondamentale per comprendere l’intera estensione dell’attacco e le contromisure adottate dalla piattaforma di San Francisco.
