GitHub indaga su accesso non autorizzato a repository interni

Mercoledì GitHub ha dichiarato di stare indagando su un accesso non autorizzato ai propri repository interni a seguito della compromissione del dispositivo di un dipendente.

«Sebbene al momento non vi siano prove di un impatto sulle informazioni dei clienti archiviate al di fuori dei repository interni di GitHub, stiamo monitorando attentamente la nostra infrastruttura per individuare eventuali attività successive», ha affermato la piattaforma per sviluppatori in una dichiarazione.

In un post successivo, GitHub ha dichiarato di aver rilevato e contenuto martedì una compromissione del dispositivo di un dipendente che coinvolgeva un'estensione VS Code compromessa. “Abbiamo rimosso la versione dannosa dell'estensione, isolato l'endpoint e avviato immediatamente la risposta all'incidente”, ha aggiunto.

GitHub è la piattaforma di riferimento per gli sviluppatori, molti dei quali ospitano i propri progetti open source e repository sui suoi server.

TeamPCP rivendica responsabilità

Nel frattempo, secondo quanto riferito, un gruppo di hacker denominato TeamPCP avrebbe rivendicato la responsabilità della violazione e avrebbe tentato di vendere online i dati di GitHub, sostenendo di essere in possesso di «4.000 repository di codice privato» relativi alla piattaforma principale di GitHub e alle sue organizzazioni interne.

TeamPCP è un gruppo di hacker sofisticato e fortemente automatizzato che trasforma gli strumenti degli sviluppatori compromessi in macchine per la raccolta di credenziali a scopo di lucro, come riportato da SecurityWeek.

Il gruppo TeamPCP rivendica la responsabilità sui forum clandestini di hacker. Fonte: Hackmanac

«Se nel vostro codice sono presenti chiavi API, anche nei repository privati, è ora il momento di ricontrollarle e cambiarle», ha affermato il fondatore di Binance, Changpeng Zhao.

La notizia arriva appena un giorno dopo che Grafana Labs, un’azienda specializzata nell’osservabilità dei dati open source, ha dichiarato martedì di essere stata vittima di un attacco alla catena di approvvigionamento, nel corso del quale alcuni malintenzionati hanno avuto accesso ai suoi repository GitHub e scaricato il suo codice sorgente.

Gli aggressori hanno avanzato una richiesta di riscatto minacciando di divulgare i dati, richiesta che l’azienda non ha soddisfatto.

Questo incidente è avvenuto anche poco dopo la divulgazione pubblica, avvenuta il 28 aprile, di una vulnerabilità critica di esecuzione di codice remoto, CVE-2026-3854, che consentiva agli utenti autenticati di eseguire comandi arbitrari sui server di GitHub.

Wiz Research, che ha scoperto la falla critica, ha riferito all’epoca che milioni di repository pubblici e privati appartenenti ad altri utenti e organizzazioni erano accessibili sui nodi colpiti.