GitHub zegt dat een hacker code heeft gestolen uit ongeveer 3.800 interne repositories, nadat er een schadelijke plugin op de computer van een medewerker was gezet. Dit veroorzaakt veel onrust in de cryptowereld over de veiligheid van API-sleutels die in code worden opgeslagen.
Binance-oprichter Changpeng Zhao roept ontwikkelaars op om in elk project te controleren op verborgen sleutels en deze te vervangen. Hij waarschuwt dat zelfs privé-repositories nu als openbaar moeten worden beschouwd.
Wat het bedrijf bekendmaakte
GitHub zegt dat de inbraak begon toen een medewerker een kwaadaardige versie installeerde van een VS Code-extensie, een kleine extra toevoeging voor een code-editor die door miljoenen ontwikkelaars wereldwijd wordt gebruikt.
Het bedrijf heeft de betrokken computer direct geïsoleerd, de slechte extensie verwijderd en is ’s nachts begonnen met het veranderen van cruciale wachtwoorden. De meest risicovolle inloggegevens zijn als eerste vervangen.
Tot nu toe blijkt uit het onderzoek dat de hacker alleen code uit de eigen interne repositories van GitHub heeft gekopieerd. Er zijn geen aanwijzingen dat klanten, organisaties of andere accounts zijn getroffen.
GitHub geeft aan dat de claim van de aanvaller – over ongeveer 3.800 gestolen repositories – overeenkomt met wat het eigen team heeft gevonden. Een uitgebreider rapport volgt als het onderzoek is afgerond.
Waarom crypto-ontwikkelaars alert zijn
In de crypto-sector kan een gelekte API-sleutel binnen enkele minuten een handelsaccount leegtrekken. Veel sleutels geven ook toegang tot wallets, opslagdiensten of bots voor beurshandel. Daarom waarschuwde CZ zijn volgers meteen.
De sector kreeg eerder al klappen. Bij een hack op infrastructuurleverancier Vercel moesten teams hun sleutels vervangen. Het 3Commas-lek in 2022 onthulde ongeveer 100.000 gebruikerssleutels.
Een aparte supply chain-aanval op de Bitwarden-wachtwoordmanager stal wallet seeds en ontwikkelaar-tokens. Vervolgens werden de gestolen gegevens verborgen in GitHub repositories.
Ontwikkelaars laten privé-sleutels vaak in code, build-scripts of verborgen configuratiebestanden staan, omdat ze denken dat niemand van buiten deze kan lezen. Het geval van GitHub laat zien dat ook interne systemen kwetsbaar zijn, net als openbare systemen.
GitHub meldt dat het team nog steeds de logbestanden onderzoekt. Of er code of geheimen met betrekking tot crypto-infrastructuur zijn gestolen uit de gestolen repositories moet de komende dagen duidelijk worden.
