GitHub säger att en hacker har stulit kod från ungefär 3 800 av deras interna kodförråd efter att ha lagt in ett skadligt plugin på en anställds dator, vilket gör att kryptobranschen oroar sig för säkerheten för API-nycklar som sparas i kod.
Binance grundare Changpeng Zhao uppmanade utvecklare att undersöka varje projekt noggrant efter gömda nycklar och byta ut dem. Han varnade för att till och med privata kodförråd nu bör betraktas som exponerade.
Vad företaget berättade
GitHub förklarade att intrånget startade när en anställd installerade en skadlig version av ett VS Code-tillägg, som är ett litet tillägg till en textredigerare som används av miljontals utvecklare världen över.
Företaget isolerade den drabbade datorn, tog bort det skadliga tillägget och började byta ut kritiska lösenord under natten. De bytte ut de mest känsliga uppgifterna först.
Undersökningen hittills visar att hackern bara tog kod från GitHubs egna interna förråd. Kundprojekt, organisationer och konton verkar inte ha påverkats.
GitHub säger att hackerns påstående om ungefär 3 800 stulna kodförråd stämmer med vad företagets team har upptäckt. En mer detaljerad rapport kommer när utredningen är klar.
Varför kryptoutvecklare är oroliga
Inom krypto kan en exponerad API-nyckel tömma ett handelskonto på bara några minuter. Många nycklar ger också tillgång till plånböcker, förvaringstjänster eller handelsrobotar. Därför var CZ snabb med att varna sina följare.
Sektorn har drabbats förut. Ett dataintrång hos infrastrukturleverantören Vercel tidigare i år tvingade team att byta ut nycklar. Läckan från 3Commas år 2022 exponerade omkring 100 000 användarnycklar.
Ett separat supply chain-angrepp mot Bitwarden lösenordshanterare stal plånboksfrön och utvecklartoken. Därefter gömde angriparen den stulna datan i GitHubs kodförråd.
Utvecklare lämnar ofta privata nycklar i kod, byggskript eller dolda konfigurationsfiler och tror att ingen utanför företaget kan läsa de. GitHub-fallet visar att interna system kan gå sönder, precis som offentliga.
GitHub säger att deras team fortfarande går igenom loggarna. Om något av de stulna förråden innehåller kod eller nycklar kopplade till kryptoinfrastruktur blir troligtvis tydligare de kommande dagarna.
