GitHub cho biết một hacker đã đánh cắp mã nguồn từ khoảng 3,800 kho lưu trữ nội bộ của công ty sau khi cài đặt một plugin độc hại lên máy tính của nhân viên, khiến cộng đồng tiền mã hóa lo lắng về mức độ an toàn của các API key được lưu trữ trong mã nguồn.
Nhà sáng lập Binance, Changpeng Zhao, đã khuyên các nhà phát triển nên kiểm tra kỹ từng dự án để tìm và thay thế các key ẩn, đồng thời cảnh báo rằng ngay cả các kho lưu trữ riêng tư cũng nên được xem là đã bị lộ.
GitHub tiết lộ những gì?
GitHub cho biết vụ tấn công bắt đầu khi một nhân viên vô tình cài đặt phiên bản độc hại của một extension VS Code — một tiện ích nhỏ dành cho trình chỉnh sửa mã nguồn mà hàng triệu lập trình viên trên thế giới đang sử dụng.
Công ty đã cách ly máy tính bị ảnh hưởng, gỡ bỏ extension độc hại, và khẩn trương thay đổi các mật khẩu quan trọng xuyên đêm. Những thông tin đăng nhập nhạy cảm nhất được ưu tiên thay thế đầu tiên.
Cho tới hiện tại, kết quả điều tra cho thấy hacker chỉ lấy cắp mã nguồn từ các kho lưu trữ nội bộ của riêng GitHub. Các dự án, tổ chức và tài khoản khách hàng không bị ảnh hưởng.
GitHub xác nhận con số 3,800 kho lưu trữ bị đánh cắp mà hacker công bố là trùng khớp với những gì đội ngũ công ty kiểm tra được. Báo cáo chi tiết sẽ được công bố sau khi điều tra hoàn tất.
Tại sao các nhà phát triển tiền mã hóa phải cảnh giác?
Trong lĩnh vực crypto, chỉ cần một API key bị lộ là tài khoản giao dịch có thể bị rút sạch tiền trong vài phút. Nhiều API key cũng cho phép truy cập vào ví, công cụ quản lý tài sản, hoặc bot giao dịch trên sàn. Đó là lý do vì sao CZ đã nhanh chóng cảnh báo cộng đồng nhà phát triển.
Lĩnh vực crypto từng bị ảnh hưởng nhiều lần. Hồi đầu năm nay, nhà cung cấp hạ tầng Vercel cũng bị tấn công và buộc nhiều team phải thay đổi key. Vụ rò rỉ của 3Commas năm 2022 còn khiến khoảng 100,000 API key người dùng bị lộ.
Một vụ tấn công chuỗi cung ứng khác nhằm vào trình quản lý mật khẩu Bitwarden đã đánh cắp seed ví và token dành cho nhà phát triển, rồi giấu dữ liệu bị đánh cắp bên trong kho lưu trữ của GitHub.
Nhiều nhà phát triển thường lưu các private key trong mã nguồn, script build hoặc các file cấu hình ẩn, nghĩ rằng chỉ nội bộ mới có thể xem được. Tuy nhiên, vụ việc lần này tại GitHub cho thấy hệ thống nội bộ cũng có thể bị xâm nhập như hệ thống công khai.
GitHub cho biết đội ngũ vẫn đang rà soát nhật ký truy cập. Việc các kho lưu trữ bị đánh cắp có chứa mã nguồn hoặc thông tin nhạy cảm liên quan tới hạ tầng crypto hay không sẽ được làm rõ hơn trong những ngày tới.
