🚨 СОБЫТИЕ: GitHub подтвердил нарушение своих внутренних репозиториев

Злоумышленник взломал устройство сотрудника через заражённое расширение Visual Studio Code. Из этой единственной точки доступа он проник в внутренние репозитории GitHub, украл секреты и унес, по их утверждению, около 4000 приватных репозиториев исходного кода и данных внутренней организации.
Агент угрозы, TeamPCP, выставил всё на продажу на форуме Breached вчера с минимальной ценой в 50 000 долларов. Их условия прямо скажем. Один покупатель, без переговоров, и если никто не заплатит, весь набор данных будет опубликован бесплатно.
GitHub заявил, что удалил вредоносную версию расширения, изолировал устройство, сменил критические секреты и активировал реагирование на инциденты.
Компания утверждает, что в настоящее время нет доказательств воздействия на репозитории клиентов, предприятия или организации, хранящиеся вне их собственной инфраструктуры.
Сам вектор атаки — это часть, с которой стоит поразмышлять.
Это не было уязвимостью платформы GitHub. Это было заражённое расширение в магазине VS Code, выполненное на ноутбуке разработчика, использованное для доступа ко всему, что могло быть достигнуто с этого ноутбука.
На той же неделе два популярных рабочих процесса GitHub Actions (actions-cool/issues-helper и actions-cool/maintain-one-comment) были скомпрометированы через манипуляцию тегами для кражи учетных данных CI/CD, а критическая уязвимость RCE в самом GitHub, CVE-2026-3854, была исправлена после того, как исследователи показали, что её можно активировать одним git push.
Три отдельных инцидента, одно и то же сообщение. Платформа усилена. Цепочка поставок вокруг неё — это слабое место.
Для тех, кто сейчас строит на GitHub, немедленный чек-лист прост.
Проверьте установленные расширения VS Code. Зафиксируйте Actions GitHub на конкретных SHA коммитов, а не на тегах.
Смените любые токены, ключи для деплоя или секреты, которые могли попасть в заражённую среду за последние две недели.