GitHub-Sicherheitslücke: Binance-Chef fordert dringende Schlüsselrotation
Heute wurde bekannt, dass Hacker Zugriff auf interne Repositories von GitHub erlangten, indem sie einen infizierten VS Code-Extension auf dem Computer eines Mitarbeiters ausnutzten.
Berichten zufolge bietet ein Bedrohungsakteur mit dem Alias TeamPCP nun angeblich etwa 4.000 private Repositories von GitHub auf einem Cyberkriminalitätsforum zum Verkauf an, mit einem Mindestpreis von $50.000.
GitHubs Stellungnahme zum Vorfall
GitHub bestätigte den Sicherheitsvorfall über mehrere Tweets und erklärte, dass der Angreifer über eine bösartige VS Code-Extension auf das interne Repository zugriff. Nach der Entdeckung des Angriffs wurde die schädliche Software umgehend von dem betroffenen Gerät entfernt. GitHub betonte, dass es derzeit keine Hinweise darauf gibt, dass Kundendaten außerhalb der internen Systeme betroffen sind.
Das Unternehmen hat schnell reagiert, um Anmeldeinformationen zu rotieren, wobei die am stärksten gefährdeten Geheimnisse zuerst behandelt wurden. Zudem werden Protokolle untersucht, um mögliche weitere Aktivitäten zu identifizieren. Weitere Details sollen nach Abschluss der Untersuchung folgen.
Der französische Forscher Sébastien Latombe entdeckte ein Angebot auf einem kriminellen Forum, in dem TeamPCP behauptet, hinter dem Hack zu stecken. Die angebotenen Repositories sollen sich auf GitHub Actions, GitHub Enterprise, GitHub Copilot, Azure, CodeQL, Abrechnungs- und Authentifizierungsdienste beziehen. Es wird kein Lösegeld gefordert, sondern ein einzelner Käufer für die gestohlenen Daten gesucht.
Es gibt jedoch keine offizielle Bestätigung von GitHub oder Microsoft über den Inhalt des Angebots, und Informationen auf solchen Plattformen können veraltet oder übertrieben sein, um ihren Wert zu erhöhen.
Sicherheitsbedenken in der Krypto-Community
Die Reaktionen auf den Vorfall waren schnell, und Binance-Mitgründer Changpeng Zhao (CZ) richtete eine dringende Nachricht an Krypto-Entwickler:
"If you have API keys in your code, even private repos, now is the time to double check and change them."
Die Antworten verdeutlichten ein weit verbreitetes Problem in der Branche. Aaron Shames, Gründer von Topaz DEX, bezeichnete es als "schlechte Praxis, API-Schlüssel in Repositories zu haben, egal ob privat oder nicht", erkannte jedoch die Warnung an.
Andere wiesen darauf hin, dass es für Entwickler, die Hunderte von Schlüsseln verwalten, keine einfache Lösung gibt.
"This entire practice of key storage needs an update," schrieb der digitale Künstler Tuteth_.
Sicherheitskommentator Dhanush Nehru ging noch weiter:
"No one knows what all permissions each VS Code extension owns. The cybersecurity threat landscape is scary."
Der Vorfall verstärkte die bereits bestehenden Sorgen um die Sicherheit im Kryptobereich, nachdem es in diesem Monat mehrere hochkarätige Hacks gegeben hatte, darunter ein Angriff auf das Echo Protocol, bei dem Hacker $76,7 Millionen in eBTC minten konnten.
Dieser Vorfall ereignete sich nur wenige Tage nach zwei weiteren Angriffen auf THORChain und die Verus-Ethereum Bridge, bei denen ebenfalls Millionenbeträge gestohlen wurden.
Diese Ereignisse haben zu erneuten Diskussionen über die Themen Code-Verifizierung und Schwachstellen in der Software-Lieferkette geführt. Vitalik Buterin argumentiert, dass mit Hilfe von KI die formale Verifizierung die Software sicherer machen kann, indem ihr Verhalten mathematisch bewiesen wird.
