Changpeng Zhao ostrzega deweloperów kryptowalut, aby rotowali klucze API po włamaniu na GitHub
GitHub poinformował, że haker wykradł kod z około 3800 wewnętrznych repozytoriów po zainstalowaniu zainfekowanej wtyczki na komputerze pracownika. Branża kryptowalutowa podniosła alarm dotyczący bezpieczeństwa kluczy API zapisywanych w kodzie.
Założyciel Binance, Changpeng Zhao, zalecił deweloperom sprawdzenie każdego projektu pod kątem ukrytych kluczy i ich wymianę. Ostrzegł, że nawet prywatne repozytoria należy teraz traktować jak publiczne.
Co ujawniła firma
GitHub przekazał, że wyciek rozpoczął się, gdy pracownik zainstalował złośliwą wersję rozszerzenia VS Code. Jest to mały dodatek do edytora kodu, z którego korzystają miliony programistów na całym świecie.
Firma odizolowała zainfekowany komputer, usunęła szkodliwe rozszerzenie i przez noc wymieniała najważniejsze hasła. Najpierw wymieniono dane dostępu narażone na najwyższe ryzyko.
Dotychczasowe dochodzenie sugeruje, że haker pobrał kod tylko z własnych, wewnętrznych repozytoriów GitHub. Nie znaleziono dowodów, by ktokolwiek włamał się do projektów, organizacji lub kont klientów.
GitHub poinformował, że liczba ok. 3800 wykradzionych repozytoriów zgadza się z tym, co odkrył zespół firmy. Pełny raport zostanie opublikowany po zakończeniu dochodzenia.
Dlaczego deweloperzy kryptowalut są w gotowości
W kryptowalutach ujawniony klucz API może opróżnić konto handlowe w kilka minut. Wiele kluczy umożliwia również dostęp do portfeli, narzędzi do przechowywania lub botów giełdowych. Dlatego CZ tak szybko ostrzegł swoich obserwatorów.
CZ, Source: XBranża już wcześniej zmagała się z podobnymi problemami. Wyciek u dostawcy infrastruktury Vercel na początku tego roku zmusił zespoły do wymiany kluczy. Wycieki z 3Commas w 2022 roku naraziły około 100 000 kluczy użytkowników.
Oddzielny atak łańcucha dostaw na menedżera haseł Bitwarden pozwolił ukraść seedy portfeli i tokeny deweloperów. Skradzione dane ukryto później w repozytoriach GitHub.
Deweloperzy często zostawiają prywatne klucze w kodzie, skryptach budujących lub ukrytych plikach konfiguracyjnych. Zakładają, że nikt spoza firmy nie będzie miał do nich dostępu. Przypadek GitHub pokazuje, że wewnętrzne systemy bywają łamane tak samo, jak publiczne.
GitHub poinformował, że jego zespół wciąż analizuje logi. Czy któreś ze skradzionych repozytoriów zawierają kod lub tajemnice związane z infrastrukturą kryptowalut, powinno się wyjaśnić w najbliższych dniach.
BeInCrypto Polska - Changpeng Zhao ostrzega deweloperów kryptowalut, aby rotowali klucze API po włamaniu na GitHub
Możesz także polubić
Prognoza ceny AUD/USD: Para pozostaje blisko miesięcznego minimum, niedźwiedzie celują w przebicie poniżej 0,7150
GitHub został zhakowany
