Компания подтвердила факт компрометации, уточнив, что зараженный плагин уже удален из официального магазина расширений, а скомпрометированная рабочая станция изолирована от корпоративной сети. Представители GitHub настаивают, что утечка ограничена внутренними ресурсами и не затронула данные пользователей платформы. Однако инцидент вновь обнажил уязвимость цепочек поставок в современной разработке: расширения для VS Code все чаще становятся инструментом для кражи токенов, исходного кода и доступа к инфраструктуре.
За атакой стоит группа TeamPCP, известная по кампаниям против PyPI, npm и Docker, включая масштабную операцию Mini Shai-Hulud, в ходе которой пострадали сотрудники OpenAI. Регулярная чистка VS Code Marketplace от вредоносных плагинов, включая криптомайнеры и шифровальщики, пока не решает системную проблему доверия к стороннему коду. Учитывая, что на GitHub работают более 180 миллионов разработчиков и подавляющее большинство компаний из списка Fortune 100, подобные инциденты создают серьезные риски для глобальной индустрии ПО.
Комментарии (0)
Пока нет комментариев. Будьте первым!