🚨 ВИЩЕ: GitHub підтвердив витік своїх внутрішніх репозиторіїв

Зловмисник зламав пристрій співробітника через отруєну розширення Visual Studio Code. З цього одного кінця вони проникли до внутрішніх репозиторіїв GitHub, викрали секрети та вийшли з приблизно 4 000 приватних репозиторіїв з вихідним кодом та внутрішніми даними організації.
Агент загрози, TeamPCP, виставив усе на продаж на форумі Breached вчора з мінімальною ціною 50 000 доларів. Їхні умови є прямолінійними. Один покупець, без переговорів, і якщо ніхто не заплатить, весь набір даних буде оприлюднено безкоштовно.
GitHub заявляє, що видалив шкідливу версію розширення, ізолював пристрій, обернув критичні секрети та активував реагування на інциденти.
Компанія стверджує, що наразі немає доказів впливу на репозиторії клієнтів, підприємства або організації, що зберігаються поза її внутрішньою інфраструктурою.
Вектор атаки — це частина, з якою варто розібратися.
Це не була помилка платформи GitHub. Це було отруєне розширення у маркетплейсі VS Code, виконане на ноутбуці розробника, яке використовувалося для доступу до всього, до чого міг дотягнутися цей ноутбук.
Того ж тижня два популярних робочих процеси GitHub Actions (actions-cool/issues-helper і actions-cool/maintain-one-comment) були скомпрометовані через маніпуляцію тегами для витоку облікових даних CI/CD, а критична уразливість RCE у самому GitHub, CVE-2026-3854, була виправлена після того, як дослідники показали, що її можна активувати одним git push.
Три окремі інциденти, одне послідовне повідомлення. Платформа посилена. Постачальницький ланцюг навколо неї — це м’яка ціль.
Для тих, хто зараз працює на GitHub, негайний чекліст простий.
Перевірте встановлені розширення VS Code. Закріпіть GitHub Actions за допомогою SHA комітів, а не тегів. Оберніть будь-які токени, ключі для розгортання або секрети, які могли потрапити до скомпрометованого середовища за останні два тижні.