De aanval op GitHub waar bijna vierduizend interne repositories werden gecompromitteerd was het gevolg van de TanStack supplychain-aanval, zo heeft het platform bekendgemaakt. GitHub ontdekte op 18 mei dat aanvallers het systeem van een medewerker hadden besmet. De infectie vond plaats via een besmette VS Code-extensie die op het systeem van de medewerker was geïnstalleerd.
Via de gecompromitteerde machine werd vervolgens code uit zo'n 3800 interne repositories van GitHub zelf buitgemaakt. GitHub maakte de hack via X bekend, maar heeft inmiddels op het eigen blog iets meer informatie gepubliceerd. Daarin wordt gesteld dat de besmette extensie Nx Console was. Dit is een tool gebruikt voor de ontwikkeling van software. Eén van de ontwikkelaars van Nx Console werd onlangs gehackt via de TanStack supplychain-aanval.
TanStack biedt tal van libraries die ontwikkelaars gebruiken voor het ontwikkelen van webapplicaties. De packages van TanStack tellen tientallen miljoenen installaties. Aanvallers wisten onlangs tientallen besmette packages van TanStack te publiceren. Deze packages waren voorzien van malware die op het systeem van de getroffen ontwikkelaar tokens, credentials en andere inloggegevens steelt. Daarnaast probeert de malware softwareprojecten van de getroffen ontwikkelaar te infecteren.
Eén van de slachtoffers van de TanStack supplychain-aanval was een Nx-ontwikkelaar. De aanvallers konden zo een besmette versie van Nx Console publiceren, die mogelijk zesduizend keer is gedownload voordat die offline werd gehaald. De besmette Nx Console kwam onder andere terecht op het systeem van de GitHub-medewerker, waarvandaan de aanvallers toegang tot de interne GitHub repositories kregen en zo code uit de 3800 repositories konden stelen. GitHub komt nog met een uitgebreider incidentrapport.
Volgens Jeff Cross, ceo van Nx, laat het incident zien dat maintainers van softwareprojecten fundamentele veranderingen moeten doorvoeren aan het beveiligen en verspreiden van software. Cross voegt toe dat veel van de aannames waarop het opensource-ecosysteem jarenlang draaide niet langer meer kloppen en het tijd is voor sterkere 'supply chain security practices'.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
