GitHub підтвердив зловмисне проникнення розширення VS Code, викрадено близько 3 800 внутрішніх сховищ

GitHub 20 травня на X опублікував оновлення щодо розслідування безпекової події, підтвердивши, що один із працівників потрапив під атаку через компрометацію робочого пристрою шляхом ураження розширенням VS Code зі шкідливим кодом, що призвело до викрадення приблизно 3 800 внутрішніх репозиторіїв. GitHub заявляє, що немає доказів, які б вказували на вплив на клієнтські дані, що зберігалися поза внутрішніми кодовими сховищами GitHub. GitHub видалив шкідливе розширення, ізолював уражені кінцеві пристрої та здійснив ротацію ключових облікових даних.

Деталі безпекової події, підтверджені GitHub

Згідно з підтвердженням у офіційному дописі GitHub у X:

Зона впливу: приблизно 3 800 внутрішніх репозиторіїв GitHub (заявлена нападниками кількість загалом відповідає результатам розслідування GitHub)

Причина інциденту: компрометація пристрою співробітника

Шлях атаки: розширення VS Code, у яке було вбудовано шкідливий код (атака на ланцюжок постачання для розробників)

Вплив на клієнтів: GitHub підтвердив, що витік даних «строго обмежується даними у внутрішніх кодових сховищах GitHub», і не виявив доказів впливу на клієнтські дані, компанії, організації або репозиторії

Підтверджений стан дій зловмисників

Згідно з розкриттям Dark Web Informer (дослідницька структура з кіберзагроз): загрозливий актор під псевдонімом TeamPCP ще до публікації GitHub оприлюднив на темному вебі інформацію про товар, що продавав внутрішній вихідний код GitHub і дані організацій. H2S Media повідомляє, що організація, яка стоїть за TeamPCP і хробаком шкідливого ПЗ Shai-Hulud, є тією самою; це шкідливе ПЗ нещодавно спричинило масштабне зараження в відкритих репозиторіях.

Заходи реагування, які вже вжито

Згідно з підтвердженням в офіційній заяві GitHub:

Виконано: видалення шкідливого розширення VS Code, ізоляція уражених кінцевих пристроїв, пріоритетна ротація найкритичніших облікових даних, які зазнали впливу (завершено в день виявлення події та впродовж тієї ночі)

Триває: аналіз журналів, перевірка перебігу ротації облікових даних, моніторинг подальшої активності, всебічне розслідування та реагування на інцидент

Заплановано: після завершення розслідування буде опубліковано повний звіт; якщо виявиться ширший вплив, клієнтів буде повідомлено через наявні канали реагування на інциденти

Передісторія недавнього підтвердженого безпекового інциденту GitHub

Згідно з недавньою часовою шкалою, підтвердженою H2S Media:

За три тижні: дослідники Wiz розкрили CVE-2026-3854 — критичну вразливість виконання довільного коду на віддаленій машині (RCE), яка дозволяє будь-якому автентифікованому користувачу виконувати довільні команди на сервері бекенду GitHub через одну команду git push

Минулого тижня: репозиторій GitHub компанії SailPoint було скомпрометовано через уразливість у сторонньому застосунку

17 травня 2026 року: Grafana Labs підтвердила витік токенів GitHub, внаслідок чого загрозливий актор отримав доступ до репозиторіїв і намагався здійснити вимагання

Поширені запитання

Чи вплинуло це проникнення на публічні репозиторії або репозиторії користувачів GitHub?

Згідно з офіційною заявою GitHub, витік даних «строго обмежується внутрішніми репозиторіями GitHub», і наразі немає доказів, що клієнтські дані, компанії, організації або репозиторії зазнали впливу. Клієнтсько-орієнтовані системи не постраждали.

Який був вхідний вектор атаки та як від неї захиститися?

Згідно з підтвердженням GitHub, шлях атаки полягав у розширенні VS Code із вбудованим шкідливим кодом, що належить до атак ланцюжка постачання для розробників. Засновник Binance CZ порадив: «API-ключі в приватних репозиторіях слід негайно перевірити та змінити».

Коли GitHub опублікує повний звіт про інцидент?

Згідно з офіційною заявою GitHub, повний звіт буде опубліковано після завершення розслідування, але конкретний час наразі не оголошено.