GitHub расследует несанкционированный доступ к внутренним репозиториям

GitHub расследует несанкционированный доступ к своим внутренним репозиториям после компрометации устройства сотрудника, сообщила компания в среду. Разработческая платформа обнаружила и локализовала компрометацию во вторник — она включала отравленное расширение VS Code, которое использовалось для получения доступа. Хотя у GitHub в настоящее время нет доказательств влияния на данные клиентов, хранящиеся за пределами его внутренних репозиториев, компания внимательно отслеживает свою инфраструктуру на предмет последующей активности.

GitHub — основная платформа для разработчиков по всему миру, многие из которых размещают свои проекты с открытым исходным кодом и репозитории на его серверах. Инцидент подчеркивает уязвимости в цепочке поставок инструментов разработчика, которые атакующие используют для сбора учетных данных и несанкционированного доступа.

Реагирование на инцидент и технические детали

GitHub удалил вредоносную версию расширения, изолировал затронутую конечную точку и начал процедуры реагирования на инцидент сразу после обнаружения. Компания заявила, что расследует полный масштаб несанкционированного доступа, чтобы определить, какие внутренние репозитории были затронуты.

TeamPCP заявляет о причастности

Группа хакеров под названием TeamPCP взяла на себя ответственность за компрометацию на подпольных форумах хакеров, как сообщает Hackmanac. По данным группы, она пыталась продавать данные GitHub онлайн, утверждая, что у нее есть «4 000 репозиториев с приватным кодом», связанных с основной платформой GitHub и внутренними организациями.

TeamPCP описывают как изощренную группу, ориентированную на автоматизацию: она превращает скомпрометированные инструменты разработчика в машины для добычи учетных данных ради финансовой выгоды, пишет Security Week.

Рекомендации по безопасности

Основатель Binance Чангпен Чжао посоветовал разработчикам пересмотреть практики безопасности: «Если у вас есть API-ключи в коде, даже в приватных репозиториях, сейчас самое время перепроверить их и изменить».

Похожие инциденты в безопасности разработчиков

Инцидент в GitHub произошел в тот же день, когда Grafana Labs, компания с открытым исходным кодом в области наблюдаемости данных, раскрыла, что стала жертвой атаки на цепочку поставок. Злоумышленники получили доступ к репозиториям Grafana на GitHub и скачали ее кодовую базу. Атакующие выдвинули требование выкупа под угрозой раскрытия данных, которое Grafana не выполнила.

Этот инцидент следует за публичным раскрытием 28 апреля критической уязвимости удаленного выполнения кода, CVE-2026-3854, которая позволяла аутентифицированным пользователям выполнять произвольные команды на серверах GitHub. Wiz Research, обнаружившая критический недостаток, сообщила, что на затронутых узлах были доступны миллионы публичных и приватных репозиториев, принадлежащих другим пользователям и организациям.