نفوذ به حدود ۳۸۰۰ مخزن داخلی گیت‌هاب؛ ماجرای افزونه آلوده «وی‌ اس کد» چیست؟

تا حالا پیش آمده نرم‌افزاری را برای راحت‌تر شدن کارتان نصب کنید، اما همان برنامه بلای جان سیستم شما شود؟ این همان اتفاقی است که برای بزرگترین پلتفرم میزبان کدهای نرم‌افزاری دنیا یعنی «گیت‌هاب» (GitHub) رخ داده؛ اتفاقی که نشان می‌دهد حتی غول‌های فناوری هم از اشتباهات انسانی در امان نیستند.

سرقت کدهای گیت‌هاب با یک اشتباه ساده

گیت‌هاب تأیید کرده که به دلیل نصب یک افزونه‌ی آلوده روی ویرایشگر VS Code توسط یکی از کارمندانش، حدود ۳۸۰۰ مخزن کد (Repository)¹ داخلی این شرکت در معرض دسترسی غیرمجاز و استخراج داده قرار گرفته‌اند.

نکته

اهمیت موضوع آنجا مشخص می‌شود که بدانیم بیش از ۱۸۰ میلیون برنامه‌نویس و ۴ میلیون سازمان از این سرویس استفاده می‌کنند و در مجموع بیش از ۴۲۰ میلیون مخزن کد روی آن قرار دارد. حتی ۹۰ درصد شرکت‌های فهرست Fortune 100 نیز از این پلتفرم استفاده می‌کنند.

هکرها به دنبال ۵۰ هزار دلار

گروه هکری TeamPCP با انتشار پستی در انجمن سایبری جرایم رایانه‌ای (Breached) مسئولیت این حمله را بر عهده گرفته است. آن‌ها کدهای سرقت‌شده را حداقل ۵۰ هزار دلار قیمت‌گذاری کرده‌اند. این گروه مدعی تأکید کرده‌ است که قصد باج‌گیری از خود گیت‌هاب را ندارد و اگر خریدار واحدی پیدا نشود، داده‌ها را به صورت رایگان در اینترنت منتشر خواهد کرد.

گیت‌هاب هنوز این حادثه را به گروه مشخصی نسبت نداده، اما گفته عدد اعلام‌شده درباره حدود ۳۸۰۰ مخزن با بررسی فعلی شرکت هم‌خوانی نسبی دارد.

گیت‌هاب همچنین می‌گوید بلافاصله پس از شناسایی مشکل، نسخه مخرب این افزونه را از فروشگاه افزونه‌های VS Code حذف کرده و دستگاه آلوده را از شبکه جدا کرده است. همچنین تیم امنیتی شرکت روند بررسی حادثه را آغاز کرده است.

برای مطالعه بیشتر

دردسرهای کد متن‌باز: خطری در کمین تمام کسب‌وکارهای مرتبط به تکنولوژی

کسب‌وکار آنلاین

افزونه‌ها؛ دروازه‌ی پنهان ورود هکرها

افزونه‌های VS Code برای برنامه‌نویسان بسیار کاربردی‌اند، اما همین محبوبیت آن‌ها را به هدف جذابی برای مهاجمان تبدیل می‌کند. یک افزونه می‌تواند به فایل‌های پروژه، توکن‌ها، تنظیمات گیت، کلیدهای دسترسی یا محیط توسعه کاربر نزدیک شود؛ بنابراین نصب افزونه ناشناس در محیط برنامه‌نویسی، فقط اضافه کردن یک ابزار ساده نیست، بلکه دادن سطحی از اعتماد به کدی است که روی دستگاه اجرا می‌شود.

این اولین بار نیست که فروشگاه افزونه‌های VS Code میزبان برنامه‌های مخرب می‌شود. پیش از این نیز افزونه‌هایی با «بیش از ۹ میلیون نصب» به دلیل سرقت اطلاعات برنامه‌نویسان از این فروشگاه حذف شده بودند. دو افزونه دیگر هم با عنوان «دستیار هوش مصنوعی برای برنامه‌نویسی» با ۱.۵ میلیون نصب اطلاعات توسعه‌دهندگان را به سرورهایی در چین ارسال می‌کردند.

پیش از نصب افزونه، فقط به تعداد نصب و امتیاز کاربران اعتماد نکنید. سازنده، تاریخچه انتشار، مجوزها، دسترسی‌های لازم، تغییرات نسخه‌های اخیر و نیاز واقعی خودتان به آن افزونه را بررسی کنید. افزونه‌های بلااستفاده را حذف کنید و هنگام باز کردن پروژه‌های ناشناس، از قابلیت Workspace Trust وی‌اس کد استفاده کنید تا اجرای کد و رفتار افزونه‌ها در پروژه‌های نامطمئن محدودتر شود.

در آخر

ماجرای گیت‌هاب یادآوری می‌کند که حمله‌های زنجیره تأمین همیشه از مسیرهای پیچیده شروع نمی‌شوند؛ گاهی یک افزونه آلوده روی دستگاه یک کارمند یا توسعه‌دهنده کافی است تا مهاجم به مخازن داخلی، توکن‌ها یا فایل‌های حساس نزدیک شود. برای کاربران عادی شاید این خبر مستقیماً به معنای خطر فوری نباشد، اما برای توسعه‌دهندگان و تیم‌های فنی یک هشدار جدی است: هر افزونه‌ای که در محیط کدنویسی نصب می‌شود، باید مثل یک نرم‌افزار حساس بررسی شود، نه یک ابزار بی‌خطر.

مخزن کد (Repository)، محل نگهداری کدها، فایل‌ها، مستندات و تاریخچه تغییرات یک پروژه نرم‌افزاری است. در سرویس‌هایی مثل گیت‌هاب، هر پروژه معمولاً یک مخزن جداگانه دارد و توسعه‌دهندگان از همان‌جا کد را مدیریت، ویرایش و منتشر می‌کنند. ↩︎

حکایت‌های کوتاه، حقیقت‌های بزرگ

در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.