Sự cố rò rỉ tại GitHub tiết lộ 3.800 kho lưu trữ, dấy lên lo ngại về an ninh API

Một sự cố vi phạm an ninh tại GitHub, nền tảng lưu trữ mã nguồn lớn nhất thế giới, đã làm rò rỉ khoảng 3.800 kho lưu trữ nội bộ của công ty, gây ra lo ngại trên diện rộng về an ninh chuỗi cung ứng phần mềm và việc lộ các thông tin xác thực nhạy cảm như khóa API. Sự việc được GitHub xác nhận vào thứ Tư, bắt đầu sau khi thiết bị của một nhân viên bị xâm nhập bởi một tiện ích mở rộng độc hại cho trình soạn thảo mã phổ biến, VS Code.

"Nếu bạn có khóa API trong mã của mình, ngay cả trong các kho riêng tư, bây giờ là lúc để kiểm tra lại và thay đổi chúng," người sáng lập Binance, Changpeng Zhao, cho biết trong một bài đăng trên X, phản ánh sự cảnh giác cao độ của ngành tiền điện tử. Khả năng các khóa API bị lộ có thể rút sạch tài khoản giao dịch hoặc truy cập vào cơ sở hạ tầng tiền điện tử nhạy cảm đã khiến các nhà phát triển phải lưu ý cao độ.

Cuộc điều tra của GitHub tiết lộ rằng hoạt động trái phép bắt đầu vào thứ Ba và liên quan đến việc đánh cắp mã từ các kho lưu trữ liên quan đến nền tảng chính và các tổ chức nội bộ của GitHub. Công ty tuyên bố rằng họ "không có bằng chứng về tác động đối với thông tin khách hàng được lưu trữ bên ngoài các kho lưu trữ nội bộ của GitHub" và kể từ đó đã gỡ bỏ tiện ích mở rộng độc hại cũng như cách ly thiết bị bị ảnh hưởng. Một nhóm tin tặc có tên TeamPCP được cho là đã nhận trách nhiệm về vụ tấn công.

Sự cố rò rỉ này nhấn mạnh mối đe dọa ngày càng tăng của các cuộc tấn công chuỗi cung ứng, nơi tin tặc nhắm mục tiêu vào các nhà phát triển và công cụ của họ để giành quyền truy cập vào một hệ sinh thái rộng lớn hơn. Sự cố này theo sau một cuộc tấn công tương tự vào Grafana Labs và một lỗ hổng thực thi mã từ xa nghiêm trọng gần đây trên các máy chủ của GitHub, cùng nhau làm nổi bật rủi ro dai dẳng của việc để lại các thông tin xác thực và dữ liệu nhạy cảm trong những kho mã nguồn vốn được cho là an toàn và riêng tư. Sự kiện này là một lời nhắc nhở rõ ràng rằng các hệ thống nội bộ tại các nhà cung cấp công nghệ lớn vẫn là mục tiêu có giá trị cao, với khả năng gây ra các tác động dây chuyền trong ngành phần mềm và tiền điện tử.

Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.