4000 закрытых репозиториев и ценник в 50 тысяч долларов. TeamPCP утверждает, что украла внутренний код GitHub

GitHub подтвердил компрометацию примерно 3800 внутренних репозиториев после того, как сотрудник компании установил вредоносное расширение для VS Code. Ранее хакерская группировка TeamPCP заявила, что получила доступ примерно к 4000 закрытых репозиториев сервиса и пытается продать данные минимум за $50 000.

По данным GitHub, компания обнаружила и остановила компрометацию устройства сотрудника, удалила вредоносную версию расширения из магазина VS Code Marketplace, изолировала заражённый компьютер и начала реагирование на инцидент. Текущая оценка GitHub показывает, что злоумышленники вывели только внутренние репозитории компании.

Платформой GitHub пользуются более 4 млн организаций, включая 90% компаний из списка Fortune 100, а также свыше 180 млн разработчиков. В репозиториях сервиса хранится код более чем 420 млн проектов, поэтому подтверждённый доступ к внутренним хранилищам сразу привлёк внимание специалистов по безопасности.

GitHub сообщил BleepingComputer, что заявления злоумышленников о примерно 3800 репозиториях в целом совпадают с предварительными выводами расследования. При этом компания пока не нашла признаков, что инцидент затронул клиентские данные за пределами внутренних хранилищ GitHub, включая корпоративные аккаунты, организации и пользовательские репозитории.

Компания пообещала уведомить затронутых клиентов через стандартные каналы оповещения и реагирования на инциденты, если расследование подтвердит влияние на клиентские данные. GitHub также продолжает следить за инфраструктурой, чтобы выявить возможную последующую активность.

TeamPCP опубликовала заявление на хакерском форуме Breached во вторник. Группировка заявила, что получила исходный код GitHub и доступ к внутренним организациям сервиса. По словам злоумышленников, в архиве находится около 4000 закрытых репозиториев, а заинтересованным покупателям готовы показать образцы для проверки подлинности.

Источник BleepingComputer

Хакеры утверждают, что не требуют выкуп у GitHub, а ищут одного покупателя. TeamPCP пообещала удалить данные после продажи, но пригрозила выложить архив бесплатно, если покупатель не найдётся.

Группировку TeamPCP ранее связывали с атаками на цепочки поставок, которые затрагивали GitHub, PyPI, NPM и Docker. В марте хакеры скомпрометировали сканер уязвимостей Aqua Security Trivy. Инцидент, предположительно, привёл к последующим компрометациям Docker-образов Aqua Security и проекта Checkmarx KICS.

Атака на Trivy также затронула открытую Python-библиотеку LiteLLM. Через вредоносную кампанию злоумышленники заражали устройства стилером TeamPCP Cloud Stealer, который крадёт информацию с систем жертв.

Позже TeamPCP связали с кампанией Shai-Hulud против цепочек поставок. Атака затронула устройства двух сотрудников OpenAI. Группировка также угрожала опубликовать исходный код Mistral AI, который, по утверждению хакеров, украли с помощью скомпрометированных учётных данных CI/CD.