- Nền tảng phát triển mã nguồn mở GitHub thuộc sở hữu của Microsoft (MSFT:US) đã xác nhận rằng kho mã nội bộ của họ đã bị truy cập trái phép. Cuộc điều tra cho thấy một sự cố xâm nhập thiết bị đầu cuối của nhân viên liên quan đến một tiện ích mở rộng Visual Studio Code (VS Code) có chứa phần mềm độc hại, dẫn đến việc dữ liệu nội bộ bị rò rỉ.
- Theo phân tích từ diễn đàn tội phạm mạng và công ty an ninh SlowMist, hacker có thể đã sử dụng mô hình AI bảo mật Mythos của công ty AI Anthropic để thực hiện xâm nhập chính xác, đánh cắp khoảng 3800 đến 4000 kho nội bộ cốt lõi, bao gồm mã nguồn của trợ lý mã AI GitHub Copilot, thuật toán CodeQL, hệ thống chạy Actions và hệ thống thanh toán.
- Hiện tại, GitHub đã hoàn tất việc cách ly các thiết bị đầu cuối bị ảnh hưởng và loại bỏ các tiện ích mở rộng độc hại, đồng thời ưu tiên khởi động việc thay đổi các chứng chỉ quan trọng và kiểm toán nhật ký. Báo cáo phản hồi sự cố đầy đủ vẫn đang được phân tích và biên soạn, nền tảng đang theo dõi chặt chẽ nguy cơ tấn công thứ cấp tiềm ẩn.
Tài sản cốt lõi của chuỗi cung ứng đầu cuối bị xâm nhập có chủ đích
Điểm bùng phát của sự cố an ninh lần này nằm ở thị trường tiện ích mở rộng môi trường phát triển tích hợp mà các nhà phát triển thường xuyên sử dụng, cho thấy hiệu quả của các cuộc tấn công chuỗi cung ứng có chủ đích. Hacker đã thông qua việc làm ô nhiễm tiện ích mở rộng VS Code để vượt qua các biện pháp phòng thủ mạng truyền thống, thực thi mã độc trực tiếp trên thiết bị đầu cuối của nhân viên. Do thiết bị đầu cuối này có quyền truy cập vào kho mã cốt lõi nội bộ, dẫn đến việc rò rỉ tài sản nhạy cảm. Các bộ phận giao dịch và an ninh mạng đã nhanh chóng phản ứng với sự cố này, thị trường đang đánh giá mức độ xâm phạm của việc rò rỉ tài sản trí tuệ cốt lõi đối với rào cản thương mại của GitHub. Nếu tài sản cốt lõi bị đối thủ cạnh tranh hoặc các nhóm độc hại đảo ngược kỹ thuật, giá trị kỹ thuật dài hạn của nó có thể bị giảm sút một cách hệ thống.
Công cụ AI bảo mật chuyển hướng kỹ thuật tấn công của hacker
Theo phân tích chéo của giám đốc an ninh thông tin của SlowMist, độ chính xác mà hacker thể hiện trong cuộc tấn công lần này phụ thuộc nhiều vào sự hỗ trợ của các công cụ AI tiên tiến. Mô hình AI bảo mật Mythos của Anthropic ban đầu được sử dụng cho việc quét lỗ hổng và kiểm toán mã ở phía phòng thủ, nhưng trong tay hacker, nó đã chuyển thành vũ khí bất đối xứng tự động tạo ra tải tấn công có độ ẩn cao, dò tìm lỗ hổng phòng thủ mạng nội bộ. Sự chuyển hướng kỹ thuật này cho thấy, trong khi AI mô hình lớn đang hạ thấp ngưỡng tội phạm mạng, nó cũng đang tăng cường đáng kể tỷ lệ thành công xâm nhập vào tài sản cốt lõi của các tập đoàn công nghệ lớn. Sự thay đổi biên này khiến thị trường cấp một nghi ngờ về hiệu quả của các mô hình phòng thủ an ninh mạng.
Đối phó rủi ro ngắn hạn dưới cơ chế thay đổi chứng chỉ
Ngay khi xác nhận dữ liệu bị rò rỉ, cơ chế phản ứng của GitHub tập trung vào việc thay đổi khẩn cấp các chứng chỉ quan trọng. Ý định vĩ mô của hành động này là nhanh chóng cắt đứt hiệu lực của các khóa mã hóa cứng, mã thông báo API và chứng chỉ truy cập cơ sở dữ liệu có thể có trong mã nguồn bị rò rỉ, từ đó ngăn chặn hacker sử dụng kho mã đã biết để xâm nhập thứ cấp vào môi trường sản xuất. Tuy nhiên, do kho bị rò rỉ liên quan đến hệ thống thanh toán và hệ thống chạy Actions, việc xác minh toàn diện hiệu quả của việc thay đổi chứng chỉ và làm sạch các chương trình cửa hậu tiềm ẩn cần một chu kỳ tính toán nhất định. Trong thời gian này, các chỉ số ổn định và tuân thủ của dịch vụ đám mây có thể tiếp tục chịu áp lực.
Bản đồ rủi ro thanh khoản của kiến trúc cơ sở của các tập đoàn công nghệ lớn
Do mã bị đánh cắp bao gồm hệ thống chạy Actions và các cơ sở hạ tầng trụ cột hỗ trợ cộng đồng mã nguồn mở toàn cầu và tích hợp liên tục và phân phối liên tục (CI/CD) cấp doanh nghiệp, rủi ro hệ thống của toàn bộ chuỗi cung ứng phần mềm đang tích lũy nhanh chóng. Việc rò rỉ mã nguồn Copilot có nghĩa là lợi thế dẫn đầu tuyệt đối của Microsoft trong lĩnh vực lập trình hỗ trợ AI đang đối mặt với nguy cơ xâm phạm tiềm ẩn, trong khi việc rò rỉ hệ thống thanh toán có thể được sử dụng để khai thác lỗ hổng thương mại hoặc thực hiện gian lận tài chính. Với việc tiết lộ thêm các nhật ký kỹ thuật sau này, nếu xác nhận môi trường sản xuất bị thay đổi thực chất, có thể sẽ khiến khách hàng cấp doanh nghiệp đánh giá lại tính an toàn của hệ sinh thái đám mây của Microsoft, từ đó tạo ra tác động tiêu cực đến định giá của công ty mẹ trên thị trường công khai.
