Взлом GitHub через вредоносное расширение Nx Console

Коллеги, хочу обратить внимание в сфере кибербезопасности: GitHub подтвердил компрометацию внутренних репозиториев через поддельное расширение nrwl.angular-console для VS Code.
Коротко:
- Злоумышленники (TeamPCP) эксфильтрировали ~3,800 репозиториев, установив троян в расширении.
- Вредонос был в Marketplace 18 минут, но похищал учётные данные (1Password, npm, GitHub, AWS и пр.).
- GitHub ротаировал секреты и ведёт мониторинг; я усиливаю контроль секретов и проверяю устройства.
Почему это важно: компрометация инструментов разработчиков ставит под угрозу цепочку поставок.
Какие дополнительные меры по управлению расширениями и автообновлениями Вы считаете приоритетными?
#кибербезопасность #supplychain #devtools #GitHub


Последние комментарии
Комментариев пока нет.