Нарушение GitHub связано с отравленным расширением VS Code
Компания GitHub, занимающаяся онлайн-хранилищем кода, заявляет, что недавняя утечка ее внутренних данных произошла из-за того, что сотрудник загрузил «отравленное» расширение VS Code.
Фирма, принадлежащая Microsoft, впервые сообщила сегодня рано утром, что расследует несанкционированный доступ к своим внутренним репозиториям.
С тех пор GitHub сообщил, что нарушение затронуло только внутренние репозитории GitHub.
В нем добавлено: «Текущие заявления злоумышленника о примерно 3800 репозиториях на данный момент направленно согласуются с нашим расследованием».
Нарушение связано с вредоносным расширением VS Code, загруженным с торговой площадки расширений VS Code от Microsoft. VS Code означает Visual Studio Code, и рынок предлагает для загрузки различные инструменты и приложения для редакторов кода.
1/ Мы делимся дополнительной информацией о нашем расследовании несанкционированного доступа к внутренним репозиториям GitHub. Вчера мы обнаружили и локализовали взлом устройства сотрудника с использованием отравленного расширения VS Code. Мы удалили версию вредоносного расширения,…
— GitHub (@github) 20 мая 2026 г.
GitHub заявил, что «опубликует более полный отчет после завершения расследования».
Хакерская группа, утверждающая, что взломала репозитории GitHub, — это TeamPCP, которая была связана с атакой на цепочку поставок Mini Shai Halud, которая повлияла на OpenAI, а также с рядом других атак на цепочку поставок, нацеленных на программное обеспечение для разработчиков.
Группа продает около 4000 частных репозиториев на хакерском форуме Breached не менее чем за 50 000 долларов, подчеркивая при этом, что не примет никаких «низких предложений».
В нем говорилось: «Это не выкуп, нас не волнует вымогательство с GitHub». Данные на его конце предположительно будут «уничтожены» после продажи, и если компания не сможет найти покупателя, TeamPCP заявила, что утечет данные бесплатно.
GitHub сообщает, что удалил «вредоносное расширение»
GitHub утверждает, что «удалил версию вредоносного расширения, изолировал конечную точку и немедленно начал реагирование на инцидент».
«Критически важные секреты были заменены вчера и в одночасье, при этом приоритет отдавался самым важным полномочиям», — заявили в компании, добавив, что будут продолжать следить за ситуацией.
Восприятие инцидента было неоднозначным. Пользователи отметили давние жалобы на бывших руководителей Microsoft и GitHub, которые просили найти решения для загрузки вредоносных программ на рынке расширений VS Code.
Можете ли вы решить проблему с людьми, развертывающими вредоносное ПО на рынке расширений vscode? Я устал каждую неделю отправлять письма на адрес [email protected], исправь свой чертов маркетплейс.
– Краковия (@krakovia_evm) 19 декабря 2024 г.
Эта жалоба была подана против бывшего генерального директора GitHub два года назад.
Бывший генеральный директор Binance Чанпэн Чжао предупредил: «Если в вашем коде есть ключи API, даже в частных репозиториях, сейчас самое время перепроверить и изменить их…»
Генеральный директор компании по программированию Treehouse Райан Карсон аналогичным образом предупредил: «Если у вас есть КАКИЕ-ЛИБО частные репозитории с секретами в виде простого текста или конфиденциальными документами/архитектурами, немедленно меняйте свои секреты».
Эксперт по криптобезопасности Тейлор Монахан добавил к заявлению Чжао и сказал, что вам следует получить ключи API «из своих репозиториев».
"Ваш самый большой риск не в этом. Это в том, что ваши собственные разработчики пострадают от одной из этих червивых цепочек поставок и раскроют все эти секреты", - сказал Монахан.
Вторая утечка GitHub за несколько дней
Компания-разработчик программного обеспечения Grafana ранее на этой неделе также заявила, что стала свидетелем несанкционированного доступа к ее репозиториям GitHub.
В нем утверждается, что злоумышленники «загрузили нашу кодовую базу», прежде чем предъявить «требование выкупа под угрозой раскрытия данных».
⚠️ 16 мая 2026 г. мы подтвердили целенаправленную атаку группы киберпреступников, которая получила несанкционированный доступ к нашим репозиториям GitHub и загрузила нашу кодовую базу. Вот последние новости о наших расследованиях. https://t.co/C2btjWDOxu
– Графана (@grafana) 19 мая 2026 г.
В данном случае Графана утверждает, что нарушение также произошло в результате атаки на цепочку поставок, связанной с кампанией Мини Шай-Хулуд.
В нем говорилось: "Мы провели анализ и быстро заменили значительное количество токенов рабочего процесса GitHub, но пропущенный токен привел к тому, что злоумышленники получили доступ к нашим репозиториям GitHub. Последующая проверка подтвердила, что конкретный рабочий процесс GitHub, который мы первоначально считали незатронутым, фактически был скомпрометирован".
В 2024 году утекшие пароли и код сайта Binance можно было просмотреть на GitHub в течение нескольких месяцев, прежде чем их в конечном итоге удалили.
Биржа заявила, что утечки могли нанести «серьезный финансовый ущерб» и что загрузка ее данных никогда не была санкционирована.
Protos обратился к GitHub за комментариями и обновит эту статью, если мы услышим что-нибудь в ответ.