Платформа пацвердзіла ўзлом каля 3800 ўнутраных рэпазітароў пасля таго, як адзін з супрацоўнікаў усталяваў шкоднаснае пашырэнне для VS Code. Інцыдэнт звязаны з хакерскай групоўкай TeamPCP.
Платформа пацвердзіла ўзлом каля 3800 ўнутраных рэпазітароў пасля таго, як адзін з супрацоўнікаў усталяваў шкоднаснае пашырэнне для VS Code. Інцыдэнт звязаны з хакерскай групоўкай TeamPCP.
Спачатку GitHub паведаміў, што расследуе несанкцыянаваны доступ да ўнутраных рэпазіторыяў. Кампанія падкрэсліла, што не бачыць прыкмет кампраметацыі кліенцкіх дадзеных за межамі ўласных унутраных рэпазіторыяў — напрыклад, дадзеных кліенцкіх арганізацый, enterprise-акаўнтаў і рэпазітароў.
Пазней GitHub пацвердзіў маштаб інцыдэнту. «Наша бягучая ацэнка паказвае, што актыўнасць датычыць толькі ўнутраных рэпазіторыяў GitHub. Заявы зламысніка пра прыкладна 3800 рэпазіторыяў у цэлым супадаюць з тым, што мы бачым у ходзе расследавання», — заявіла кампанія.
2/ Our current assessment is that the activity involved exfiltration of GitHub-internal repositories only. The attacker’s current claims of ~3,800 repositories are directionally consistent with our investigation so far.
— GitHub (@github) May 20, 2026
Пасля выяўлення атакі GitHub пачаў тэрміновую ратацыю крытычна важных дадзеных, у першую чаргу уліковых дадзеных з найбольшай патэнцыйным шкодай. Кампанія таксама працягвае аналізаваць логі, правяраць замену сакрэтаў і адсочваць магчымую наступную актыўнасць зламыснікаў.
TeamPCP заявіла на форуме Breached, што атрымала доступ да «зыходнага коду GitHub і унутраным арганізацыям». Групоўка сцвярджала, што ў яе ёсць каля 4000 прыватных сховішчаў, і прапаноўвала адправіць ўзоры патэнцыйным пакупнікам для праверкі сапраўднасці. Хакеры заявілі, што не патрабуюць выкуп у GitHub, а хочуць прадаць дадзеныя аднаму пакупніку; калі пакупнік не знойдзецца, яны пагражалі апублікаваць іх бясплатна.
Паводле дадзеных GitHub, прычынай узлому стала шкоднаснае пашырэнне для VS Code, усталяванае супрацоўнікам. Кампанія не назвала само пашырэнне і не ўдакладніла, якія менавіта звесткі знаходзіліся на скампраметаванай прыладзе.
Эксперты па бяспецы адзначаюць, што пашырэння для VS Code могуць мець шырокі доступ да дадзеных на кампутары распрацоўніка, у тым ўліковыя дадзеныя, SSH-ключы, хмарныя ключы і іншыя сакрэты. Таму працоўныя станцыі распрацоўшчыкаў становяцца адной з галоўных мэтаў у нападах на ланцужок паставак.
TeamPCP ўжо звязвалі з серыяй нападаў. У 2026 годзе групоўку згадвалі ў кантэксце нападаў на Trivy, Checkmarx, Bitwarden CLI, TanStack, а таксама пагрозы публікацыі скрадзенага кода Mistral AI. У адным з папярэдніх інцыдэнтаў шкоднасная кампанія прывяла да заражэння дзясяткаў тысяч прылад інфасцілерам TeamPCP Cloud Stealer.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.