يقول GitHub إن هاكرز سرق شيفرة من حوالي 3,800 من مستودعاتها الداخلية بعد زرع إضافة مسمومة على كمبيوتر أحد الموظفين، مما أثار قلق صناعة العملات الرقمية بشأن سلامة مفاتيح API المحفوظة داخل الكود.
طلب مؤسس بينانس، تشانغ بينغ تشاو، للمطورين فحص كل مشروع بحثا عن مفاتيح مخفية واستبدالها، محذرا من أن حتى المستودعات الخاصة يجب أن تعامل الآن على أنها مكشوفة.
ما كشفت عنه الشركة
قال GitHub إن الخرق بدأ عندما قام موظف بتثبيت نسخة خبيثة من إضافة VS Code، وهي إضافة صغيرة لمحرر كود يستخدمه ملايين المطورين حول العالم.
قامت الشركة بعزل الكمبيوتر المتضرر، وإزالة الإضافة التالفة، وبدأت في تبديل كلمات المرور الحرجة خلال الليل. تم تدوير الشهادات الأعلى مخاطرة أولا.
حتى الآن، تشير التحقيقات إلى أن المخترق سحب فقط شيفرة من مستودعات GitHub الداخلية الخاصة. مشاريع العملاء والمنظمات والحسابات لا تظهر أي دليل على التأثير.
قال GitHub إن ادعاء المهاجم بوجود حوالي 3800 مستودع مسروق يتوافق مع ما وجده فريقه الخاص. وسيتبع ذلك تقرير أكثر تفصيلا بعد انتهاء التحقيق.
لماذا مطوري العملات الرقمية في حالة تأهب
في العملات المشفرة، يمكن لمفتاح API مكشوف أن يستنزف حساب التداول خلال دقائق. العديد من المفاتيح تفتح أيضا الوصول إلى المحافظ أو أدوات الحضانة أو روبوتات التبادل. لهذا السبب تحرك CZ بسرعة لتحذير أتباعه.
لقد تعرض القطاع لضربات من قبل. خرق في مزود البنية التحتية Vercel في وقت سابق من هذا العام أجبر الفرق على تدوير المفاتيح. تسريب 3Commas في 2022 كشف عن حوالي 100,000 مفتاح مستخدم.
هجوم سلسلة توريد منفصل على مدير كلمات المرور في Bitwarden سرق بذور المحافظ ورموز المطورين. ثم أخفى البيانات المسروقة داخل مستودعات GitHub.
غالبا ما يترك المطورون مفاتيح خاصة داخل الكود أو السكربتات أو ملفات الإعدادات المخفية، بافتراض أن لا أحد خارج الشركة يستطيع قراءتها. تظهر قضية GitHub أن الأنظمة الداخلية يمكن أن تكون مكسورة تماما مثل الأنظمة العامة.
قال GitHub إن فريقه لا يزال يعمل على مراجعة السجلات. ما إذا كانت أي من المستودعات المسروقة تحتوي على كود أو أسرار مرتبطة بالبنية التحتية للتشفير يجب أن يصبح أوضح في الأيام القادمة.
