GitHub afferma che un hacker ha rubato codice da circa 3.800 dei suoi repository interni dopo aver installato un plugin compromesso sul computer di un dipendente, facendo scattare l’allarme nell’industria crypto riguardo la sicurezza delle chiavi API salvate all’interno del codice.
Il fondatore di Binance, Changpeng Zhao, ha invitato gli sviluppatori a controllare ogni progetto per individuare chiavi nascoste e a sostituirle, avvertendo che anche i repository privati ora dovrebbero essere considerati esposti.
Cosa ha comunicato l’azienda
GitHub ha spiegato che la violazione è iniziata quando un dipendente ha installato una versione dannosa di una estensione per VS Code, un piccolo add-on per un editor di codice utilizzato da milioni di sviluppatori in tutto il mondo.
L’azienda ha isolato il computer coinvolto, rimosso l’estensione malevola e iniziato a sostituire durante la notte le password più critiche. Le credenziali a rischio più elevato sono state ruotate per prime.
Finora, le indagini indicano che l’hacker ha prelevato solo codice dai repository interni di GitHub. Non ci sono prove che progetti dei clienti, organizzazioni o account siano stati coinvolti.
GitHub ha dichiarato che quanto rivendicato dall’attaccante, ovvero circa 3.800 repository rubati, corrisponde a quanto riscontrato dal proprio team. Un rapporto completo verrà pubblicato una volta terminata l’indagine.
Perché le sviluppatrici e gli sviluppatori crypto sono in allerta
Nel mondo crypto, una chiave API esposta può svuotare un account di trading in pochi minuti. Molte chiavi offrono anche accesso a wallet, strumenti di custodia o bot per gli exchange. Per questo motivo anche CZ si è mosso rapidamente per mettere in guardia i suoi follower.
Il settore aveva già subito attacchi simili. Una violazione presso il fornitore di infrastrutture Vercel all’inizio di quest’anno ha costretto diversi team a ruotare le chiavi. Il leak di 3Commas nel 2022 ha esposto circa 100.000 chiavi utente.
Un attacco alla supply chain separato contro il gestore di password Bitwarden ha rubato seed dei wallet e token di sviluppatori, nascondendo poi i dati rubati all’interno di repository su GitHub.
Spesso le sviluppatrici e gli sviluppatori lasciano chiavi private all’interno del codice, degli script di build o di file di configurazione nascosti, pensando che nessuno al di fuori dell’azienda possa leggerle. Il caso GitHub dimostra che i sistemi interni possono essere compromessi proprio come quelli pubblici.
GitHub ha affermato che il proprio team sta ancora analizzando i log. Se alcuni dei repository rubati contengano codice o segreti legati alle infrastrutture crypto sarà più chiaro nei prossimi giorni.
