Платформа подтвердила взлом около 3800 внутренних репозиториев после того, как один из сотрудников установил вредоносное расширение для VS Code. Инцидент связан с хакерской группировкой TeamPCP.
Платформа подтвердила взлом около 3800 внутренних репозиториев после того, как один из сотрудников установил вредоносное расширение для VS Code. Инцидент связан с хакерской группировкой TeamPCP.
Сначала GitHub сообщил, что расследует несанкционированный доступ к внутренним репозиториям. Компания подчеркнула, что не видит признаков компрометации клиентских данных за пределами собственных внутренних репозиториев — например, данных клиентских организаций, enterprise-аккаунтов и репозиториев.
Позже GitHub подтвердил масштаб инцидента. «Наша текущая оценка показывает, что активность затронула только внутренние репозитории GitHub. Заявления злоумышленника о примерно 3800 репозиториях в целом соответствуют тому, что мы видим в ходе расследования», — заявила компания.
2/ Our current assessment is that the activity involved exfiltration of GitHub-internal repositories only. The attacker’s current claims of ~3,800 repositories are directionally consistent with our investigation so far.
— GitHub (@github) May 20, 2026
После обнаружения атаки GitHub начал срочную ротацию критически важных данных, в первую очередь учетных данных с наибольшим потенциальным ущербом. Компания также продолжает анализировать логи, проверять замену секретов и отслеживать возможную последующую активность злоумышленников.
TeamPCP заявила на форуме Breached, что получила доступ к «исходному коду GitHub и внутренним организациям». Группировка утверждала, что у нее есть около 4000 приватных репозиториев, и предлагала отправить образцы потенциальным покупателям для проверки подлинности. Хакеры заявили, что не требуют выкуп у GitHub, а хотят продать данные одному покупателю; если покупатель не найдется, они угрожали опубликовать их бесплатно.
По данным GitHub, причиной взлома стало вредоносное расширение для VS Code, установленное сотрудником. Компания не назвала само расширение и не уточнила, какие именно данные находились на скомпрометированном устройстве.
Эксперты по безопасности отмечают, что расширения для VS Code могут иметь широкий доступ к данным на компьютере разработчика, включая учетные данные, SSH-ключи, облачные ключи и другие секреты. Поэтому рабочие станции разработчиков становятся одной из главных целей в атаках на цепочку поставок.
TeamPCP уже связывали с серией атак. В 2026 году группировку упоминали в контексте атак на Trivy, Checkmarx, Bitwarden CLI, TanStack, а также угрозы публикации украденного кода Mistral AI. В одном из предыдущих инцидентов вредоносная кампания привела к заражению десятков тысяч устройств инфостилером TeamPCP Cloud Stealer.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.