Sabi ng GitHub, nanakaw ng hacker ang code mula sa halos 3,800 ng internal repositories nila matapos malagyan ng infected na plugin ang computer ng isa nilang empleyado. Dahil dito, marami sa crypto industry ang ninerbyos para sa safety ng mga API key na nakasave sa code.
Pinayuhan ni Binance founder Changpeng Zhao (CZ) ang mga developers na i-double check ang bawat project nila, hanapin lahat ng nakatagong keys, at palitan agad ang mga ito. Babala pa niya, kahit yung mga private repository, dapat i-assume na exposed na rin ngayon.
Ano ang Inamin ng Kumpanya
Sabi ng GitHub, nagsimula ang breach nung nag-install ang empleyado nila ng malicious na version ng isang VS Code extension—isang maliit na add-on na ginagamit pang-edit ng code ng milyon-milyong developers worldwide.
Agad nilang in-isolate yung apektadong computer, tinanggal nila yung infected extension, at nagpalit sila ng mga critical na password overnight. Unang pinalitan yung mga password na pinaka-high risk.
Sa ngayon, lumalabas sa investigation na code lang mula sa mismong internal repositories ng GitHub ang nakuha ng hacker. Walang nakikitang epekto sa customer projects, organizations, o mga account.
Sinabi ng GitHub na tumutugma ang sabi ng attacker na mga 3,800 repositories ang nanakaw sa kung ano rin ang natuklasan ng team nila. Maglalabas sila ng mas kumpletong report pag tapos na ang imbestigasyon.
Bakit Naka-Alert ang mga Crypto Developer
Sa crypto, kapag na-expose ang API key mo, puwedeng mawala agad ang laman ng trading account mo ilang minuto lang. Marami ring key ang nagbibigay-access sa wallets, custody tools, o exchange bots. Kaya mabilis nag-warning si CZ sa mga followers niya.
Dati na ring tinamaan ang sector. Noong mas maaga ngayong taon, nagka-breach sa infrastructure provider na Vercel kaya napilitan ang mga team na mag-rotate ng mga key. Yung 3Commas leak naman noong 2022, dinagdagan nito ang exposure sa nasa 100,000 user key.
Nagkaroon din ng hiwalay na supply chain attack sa Bitwarden password manager at nanakaw ang wallet seed at developer token. Tinago pa ng hacker yung nakaw na data mismo sa loob ng GitHub repositories.
Kadalasang nilalagay ng mga developer yung mga private key nila sa code, build script, o mga tagong config file, dahil akala nila hindi mababasa ng iba sa labas ng kumpanya. Pero kitang-kita dito sa nangyari sa GitHub na puwede ring mabutas at mapasok ang mga internal system, tulad ng public na system.
Sinabi ng GitHub na tuloy-tuloy pa rin ang pag-review nila sa mga log file. Kung may makitang code o sikreto na konektado sa crypto infrastructure ang ilan sa mga nanakaw na repositories, lilinaw pa ito sa mga susunod na araw.









