- A GitHub confirmou invasão que resultou na cópia de cerca de 3.800 repositórios internos de código, com os dados colocados à venda.
- A autoria foi reivindicada pelo grupo TeamPCP, que ofereceu os repositórios por US$ 50 mil (aproximadamente R$ 250 mil) para um único comprador.
- O ataque ocorreu após um funcionário ter comprometido o próprio dispositivo com uma extensão maliciosa no editor VS Code; a empresa disse não haver indícios de dados de clientes ou repositórios externos afetados.
- O TeamPCP afirmou que não buscava extorquir o GitHub, apenas vender para uma pessoa e destruir a cópia; se não encontrar comprador, ameaçou vazar os arquivos gratuitamente.
- O grupo já é ligado a ataques de supply chain e a campanhas contra PyPI, NPM e Docker, segundo relatos de pesquisadores e veículos especializados.
GitHub confirmou que sofreu uma invasão que resultou na cópia de cerca de 3.800 repositórios internos de código. A violação ocorreu após um funcionário ter comprometido seu dispositivo com uma extensão maliciosa do VS Code, editor de código da Microsoft. Os repositórios afetados contêm pastas de desenvolvimento, com arquivos e códigos de projetos internos.
A invasão foi reivindicada pelo grupo criminoso TeamPCP, que colocou os dados à venda na internet na terça-feira (19/05). Além dos repositórios, os hackers afirmam ter obtido acesso ao código-fonte da plataforma. A GitHub afirmou não haver indícios de que dados de clientes ou repositórios armazenados fora dessas pastas tenham sido atingidos.
A plataforma, que é controlada pela Microsoft, é usada por mais de 180 milhões de desenvolvedores e 4 milhões de organizações ao redor do mundo. A empresa contou que removeu a versão da extensão maliciosa, isolou o endpoint afetado e iniciou a resposta ao incidente de imediato.
Detalhes do ataque
Segundo o grupo TeamPCP, o objetivo era vender códigos privados do GitHub por pelo menos US$ 50 mil (aproximadamente R$ 250 mil) para um único comprador. Os autores afirmam ter tudo disponível na plataforma principal e ofereceram amostras aos interessados.
Trajetória e histórico do grupo
O TeamPCP é conhecido por ataques à cadeia de suprimentos de software e já esteve ligado a campanhas contra PyPI, NPM e Docker. A matéria cita que a mesma entidade teria também atuado contra a Comissão Europeia, com o roubo de cerca de 90 GB de dados.
Extensões do VS Code como vetor
O episódio reforça o risco das extensões do VS Code, que podem mascarar ferramentas úteis e abrir brechas para invasões assim que instaladas. O Marketplace do editor já removeu extensões com histórico de vulnerabilidades, segundo as informações disponíveis.
Entre na conversa da comunidade