GitHub meldde een ernstige hack: hackers stalen circa 4.000 interne repositories van het platform. De hackersgroep TeamPCP claimt verantwoordelijk te zijn voor de aanval. De aanvallers kwamen binnen via een besmette Visual Studio Code-extensie van een GitHub-medewerker. Die extensie onderschepte stilletjes de inloggegevens van de medewerker. Met die gestolen gegevens betraden de aanvallers het interne netwerk en haalden ze op grote schaal broncode op.
De hackers kopieerden data uit duizenden interne repositories. TeamPCP biedt de gestolen informatie nu te koop aan op het darkweb voor minimaal 50.000 dollar. De groep zelf noemt het geen afpersing. GitHub benadrukt dat er geen aanwijzingen zijn dat klantgegevens zijn buitgemaakt. Alleen interne systemen van GitHub zelf zijn geraakt. Klanten hoeven hun eigen repositories vooralsnog niet te wantrouwen.
GitHub ontdekte de aanval en neutraliseerde die direct. Daarna roteerde het bedrijf alle kritieke wachtwoorden en toegangscertificaten. GitHub monitort de infrastructuur nu nauwlettend op verdere activiteiten. TeamPCP beweert echter dat GitHub uren eerder op de hoogte was van het lek, maar pas later communiceerde. Dit wekt vragen over de transparantie rond het incident. GitHub heeft deze bewering nog niet bevestigd.
TeamPCP staat bekend als een financieel gemotiveerde hackersgroep die zich richt op supply chain-aanvallen. Ze besmetten open-sourcepakketten om ontwikkelomgevingen te infiltreren. Google Threat Intelligence volgt de groep als UNC6780. Deze aanval bij GitHub onderstreept hoe kwetsbaar interne ontwikkeltools zijn voor gerichte inbraken. Bedrijven doen er verstandig aan IDE-extensies en toegangsrechten regelmatig te controleren.
