Популярный инструмент для автоматического анализа кода, DeepSource, создан для выявления уязвимостей, ошибок и проблем с производительностью. Также, для большего удобства, он имеет интеграцию с GitHub.
На этой неделе разработчики DeepSource сообщили, что 11 июля 2020 года служба безопасности GitHub уведомила их о потенциально вредоносной деятельности, связанной с GitHub-приложением DeepSource. Дело в том, что с середины июня специалисты GitHub наблюдали многочисленные запросы с необычных для пользователей DeepSource IP-адресов, однако не были уверены, что произошла компрометация, несмотря на этот аномальный трафик.
Чтобы ограничить потенциальный доступ к ресурсам для злоумышленников, разработчики DeepSource немедленно приняли меры предосторожности: сбросили все токены, секреты и приватные ключи клиентов. Так как причина атаки была неясна, также были обнулены все учетные данные и ключи сотрудников. Компания сообщает, что в итоге внутреннее расследование не выявило каких-либо нарушений или аномалий, и в целом инфраструктура DeepSource не пострадала.
Более детальное расследование, проведенное специалистами GitHub, показало, что хакеры скомпрометировали GitHub-аккаунт одного из сотрудников DeepSource в ходе фишинговой кампании Sawfish, выявленной ранее в этом году. В итоге злоумышленники получили доступ к учетным данным GitHub-приложения DeepSource.
«К сожалению, политика конфиденциальности GitHub не позволяет им поделиться с нами списком пострадавших пользователей, поэтому мы публично сообщаем о проблеме и ждем, когда GitHub завершит расследование. Насколько мы понимаем, GitHub будет уведомлять затронутых пользователей напрямую, в соответствии с правилами», — пишут разработчики DeepSource.
Отмечается, что пользователи, которые хотели бы получить дополнительную информацию о загрузках и другой активности учетной записи (для выявления подозрительного поведения), могут запросить у GitHub необходимые логи на этой странице.
DeepSource сообщает, что уже сотрудничает с ИБ-консультантами и принимает меры для улучшения безопасности, в том числе посредством проведения тренингов для своих сотрудников.