GitHub подтвердил кражу данных из нескольких тысяч своих приватных репозиториев

GitHub объявил о подтвержденном инциденте безопасности, в результате которого были скомпрометированы данные из примерно 3800-4000 его собственных внутренних приватных репозиториев. Компания подчеркнула, что на данный момент нет никаких доказательств того, что информация клиентов, хранящаяся за пределами этих внутренних хранилищ, была затронута.

Причина взлома: вредоносное расширение VS Code

По данным GitHub, причиной компрометации стало "отравленное" (вредоносное) расширение для Visual Studio Code, установленное на устройстве одного из сотрудников. Детали установки расширения, его название или способ распространения не уточняются, однако GitHub заявил, что оно было удалено, и приняты меры по минимизации ущерба. Компания также подтвердила, что число затронутых репозиториев, указанное злоумышленниками (около 3800), соответствует результатам их внутреннего расследования, полный отчет по которому будет опубликован после завершения.

TeamPCP взяла на себя ответственность и требует выкуп

За несколько часов до официального заявления GitHub, хакерская группа TeamPCP объявила на специализированном форуме о получении доступа к "исходным кодам и внутренней организации GitHub", упомянув около 4000 приватных репозиториев. Группа потребовала 50 000 долларов за украденные данные, заявив, что это не вымогательство, а "продажа единственному покупателю". В случае отсутствия покупателя TeamPCP угрожает опубликовать данные бесплатно, поскольку "их выход на пенсию приближается".

TeamPCP известна своей активностью и ранее была связана с рядом других значительных кибератак, включая компрометацию Trivy/LiteLLM и Xinference на PyPI. В одном из случаев, компрометация Trivy привела к взлому Европейской комиссии в конце марта, что было подтверждено CERT-EU с высокой степенью уверенности в причастности TeamPCP.