GitHub підтвердив злам 3800 репозиторіїв: хакери вимагають $50 000

Сервіс GitHub офіційно підтвердив масштабний інцидент, пов’язаний з кібербезпекою: близько 3800 приватних репозиторіїв компанії були скомпрометовані після зламу пристрою одного із співробітників. Про це пише Bleeping Computer. 

Атака була досить простою за своєю схемою: зловмисник додав шкідливий код у розширення для VS Code. Коли співробітник GitHub встановив його, малвар надав атакувальнику доступ до пристрою та можливість отримувати дані з внутрішніх репозиторіїв.

Як стверджує GitHub, інцидент виявили 19 травня та оперативно локалізували. Компанія видалила шкідливу версію розширення, ізолювала скомпрометований пристрій і негайно розпочала реагування на інцидент. Критичні секрети (ключі, токени) були ротовані в ту ж ніч — пріоритет віддавався найбільш чутливим обліковим даним.

Хто стоїть за атакою

Відповідальність за злам взяло на себе хакерське угруповання TeamPCP. Злочинці виставили вкрадені дані — вихідний код платформи та внутрішні файли організації — на продаж на підпільному форумі за ціною в $50 000.

TeamPCP — фінансово мотивована хакерська група, відома серією атак на ланцюжки постачання програмного забезпечення. Вони також налагодили партнерські зв’язки з угрупованнями Lapsus$ та Vect Ransomware.

Масштаб витоку та реакція GitHub

Хакери заявили про доступ приблизно до 4000 репозиторіїв із приватним кодом. На форумі зазначалося: «Тут є все для основної платформи, і якщо покупець не знайдеться — дані будуть злиті».

GitHub підтвердив, що заявлені цифри збігаються з результатами внутрішнього розслідування. Компанія наголосила, що злам не торкнувся клієнтських систем і наразі немає жодних доказів витоку даних користувачів за межами внутрішніх репозиторіїв.

Цей інцидент стався на фоні цілої серії проблем платформи: кілька тижнів тому дослідники Wiz розкрили критичну RCE-вразливість CVE-2026-3854; минулого тижня компанія SailPoint підтвердила злам своїх репозиторіїв через стороннє застосування; 17 травня Grafana Labs повідомила про викрадення токена GitHub.

Що робити програмістам

Дослідник Чарлі Еріксен з Aikido Security нагадав: розширення VS Code мають повний доступ до всіх даних на машині розробника — облікових даних, SSH-ключів, хмарних ключів та інших секретів. «Одного розширення на одному пристрої виявилося достатньо для доступу до 3800 внутрішніх репозиторіїв».

Фахівці з безпеки рекомендують:

• Перевірити та замінити всі API-ключі та токени, що зберігаються у приватних репозиторіях
• Переглянути список розширень VS Code і видалити будь-які незнайомі або неперевірені
• Увімкнути сканування секретів у репозиторіях GitHub
• Відстежувати підозрілу активність у своїх організаціях на GitHub

GitHub пообіцяв опублікувати детальний звіт після завершення розслідування та повідомити клієнтів, якщо виявить ширший вплив інциденту.

Нагадаємо, що нова версія GitHub Mobile дозволяє створювати репозиторії безпосередньо зі смартфона.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn