GitHub potwierdza naruszenie 3800 repozytoriów przez zainfekowane rozszerzenie VS Code

GitHub zmaga się z poważnym wewnętrznym naruszeniem bezpieczeństwa. Firma potwierdziła 20 maja 2026 roku, że hakerzy przejęli kontrolę nad urządzeniem pracownika za pomocą zainfekowanego rozszerzenia VS Code. Uzyskali nieautoryzowany dostęp do około 3 800 wewnętrznych repozytoriów. 

GitHub zareagował szybko – odizolował urządzenie, usunął złośliwe rozszerzenie i wymienił krytyczne dane uwierzytelniające w ciągu kilku godzin od wykrycia incydentu. Co istotne, firma stwierdza, że obecnie nie ma żadnych dowodów na naruszenie danych klientów, kont firmowych ani repozytoriów użytkowników. Dzisiejsze wiadomości o GitHub to sygnał alarmowy dla każdego dewelopera przechowującego klucze API w prywatnych repozytoriach.

Jak doszło do ataku

Wektor ataku był zwodniczo prosty. Cyberprzestępca osadził złośliwe oprogramowanie wewnątrz rozszerzenia VS Code. Pracownik GitHub zainstalował zainfekowaną wersję. Następnie atakujący uzyskał dostęp do urządzenia pracownika i rozpoczął eksfiltrację danych z wewnętrznych repozytoriów.

GitHub potwierdził harmonogram zdarzeń bezpośrednio w publicznym wątku. „Wczoraj wykryliśmy i opanowaliśmy naruszenie urządzenia pracownika związane z zainfekowanym rozszerzeniem VS Code" – stwierdziła firma. „Usunęliśmy złośliwą wersję rozszerzenia, odizolowaliśmy punkt końcowy i natychmiast rozpoczęliśmy reagowanie na incydent."

Grupa cyberprzestępcza TeamPCP przyznała się następnie do odpowiedzialności na podziemnych forach cyberprzestępczych. Grupa twierdzi, że uzyskała dane z około 4 000 prywatnych repozytoriów. Obejmują one zastrzeżony kod źródłowy platformy oraz wewnętrzne pliki organizacji, a według doniesień grupie zależy na sprzedaży tego zestawu danych za ponad 50 000 dolarów. GitHub ocenił, że twierdzenie atakującego o około 3 800 repozytoriach jest „kierunkowo spójne" z dotychczasowymi ustaleniami dochodzenia.

Odpowiedź GitHub

Reakcja na naruszenie bezpieczeństwa była prowadzona jednocześnie na wielu frontach. GitHub wymienił krytyczne dane uwierzytelniające tego samego dnia, w którym wykryto incydent, priorytetowo traktując poświadczenia o największym wpływie. Zespół bezpieczeństwa natychmiast odizolował zaatakowany punkt końcowy. Analitycy nieustannie przeglądają logi w poszukiwaniu jakiejkolwiek dalszej aktywności. Ponadto platforma marketplace usunęła złośliwą wersję rozszerzenia VS Code z obiegu. GitHub zobowiązał się do opublikowania pełniejszego raportu po zakończeniu dochodzenia. Firma zobowiązała się do powiadamiania klientów za pośrednictwem ustalonych kanałów reagowania na incydenty, jeśli zostanie wykryty jakikolwiek wpływ na klientów.

Reakcja branży

Szeroka społeczność deweloperów zareagowała szybko. Założyciel Binance, CZ, wydał bezpośrednie ostrzeżenie dla swoich odbiorców. „Jeśli masz klucze API w swoim kodzie, nawet w prywatnych repozytoriach, teraz jest czas, aby je sprawdzić i zmienić" – napisał, przekazując informacje o naruszeniu bezpieczeństwa GitHub milionom deweloperów na całym świecie. Ta rada nie jest zapobiegawcza. Jest pilna. Deweloperzy często przechowują klucze API, tokeny uwierzytelniające i poświadczenia usług w prywatnych repozytoriach, zakładając, że są one bezpieczne przed ujawnieniem.

Szerszy kontekst dla deweloperów

Informacje o naruszeniu bezpieczeństwa na taką skalę ze strony GitHub niosą ze sobą ponadproporcjonalne konsekwencje. Dzieje się tak, ponieważ GitHub hostuje ponad 100 milionów repozytoriów i stanowi podstawową infrastrukturę kodu dla globalnego ekosystemu deweloperów. W związku z tym naruszenie wymierzone w wewnętrzne repozytoria, nawet bez ujawnienia danych klientów, ujawnia ogromną powierzchnię ataku, jaką reprezentują zagrożenia dla łańcucha dostaw.

Dla deweloperów liczy się trzy natychmiastowe działania. Po pierwsze, wymień wszelkie klucze API przechowywane w repozytoriach, zarówno prywatnych, jak i publicznych. Po drugie, przeprowadź audyt list rozszerzeń w VS Code i usuń wszystko, co niezweryfikowane. Na koniec włącz skanowanie sekretów w repozytoriach, aby automatycznie wykrywać ujawnione dane uwierzytelniające. Choć dochodzenie jest w toku, transparentność GitHub przez cały czas była godna uwagi. Pełniejszy raport, gdy zostanie opublikowany, będzie lekturą obowiązkową dla każdego zespołu ds. bezpieczeństwa w branży technologicznej.

The post GitHub Confirms Breach of 3,800 Repos via Poisoned VS Code Extension  appeared first on Coinfomania.