🚨 ВИРІШЕННЯ: GitHub підтвердив злом своїх внутрішніх репозиторіїв.

Зловмисник зламав пристрій співробітника через отруєну розширення Visual Studio Code. З цього єдиного кінця вони проникли до внутрішніх репозиторіїв GitHub, викрали секрети та вийшли з приблизно 4 000 приватних репозиторіїв з вихідним кодом та внутрішніми даними організації.
Агент загрози, TeamPCP, виставив усе на продаж на форумі Breached вчора з мінімальною ціною 50 000 доларів. Їхні умови дуже прямі. Один покупець, без переговорів, і якщо ніхто не заплатить, весь набір даних буде оприлюднено безкоштовно.
GitHub заявляє, що видалив шкідливу версію розширення, ізолював пристрій, обернув критичні секрети та активував реагування на інциденти.
Компанія стверджує, що наразі немає доказів впливу на репозиторії клієнтів, підприємства або організації, що зберігаються поза її внутрішньою інфраструктурою.
Вектор атаки — це частина, з якою варто розібратися.
Це не була помилка платформи GitHub. Це було отруєне розширення у маркетплейсі VS Code, виконане на ноутбуці розробника, яке використовувалося для доступу до всього, що цей ноутбук міг досягти.
Того ж тижня два популярних робочих процеси GitHub Actions (actions-cool/issues-helper і actions-cool/maintain-one-comment) були зламані через маніпуляцію тегами для викрадення облікових даних CI/CD, а критична уразливість RCE у самому GitHub, CVE-2026-3854, була виправлена після того, як дослідники показали, що її можна активувати одним git push.
Три окремі інциденти, одне послідовне повідомлення. Платформа посилена. Постачальницький ланцюг навколо неї — м’яка ціль.
Для тих, хто зараз працює на GitHub, негайний чекліст простий.
Перевірте встановлені розширення VS Code. Прив’яжіть GitHub Actions до комітів SHAs, а не до тегів. Оберніть будь-які токени, ключі для розгортання або секрети, які могли торкнутися зламаного середовища за останні два тижні.