O GitHub investiga acesso não autorizado a repositórios internos

O GitHub está investigando um acesso não autorizado a seus repositórios internos após a invasão do dispositivo de um funcionário, anunciou a empresa na quarta-feira. A plataforma de desenvolvedores detectou e conteve a invasão na terça-feira, que envolveu uma extensão do VS Code adulterada (poisoned) usada para obter acesso. Embora o GitHub atualmente não tenha evidências de impacto às informações de clientes armazenadas fora de seus repositórios internos, a empresa está monitorando de perto sua infraestrutura em busca de atividades posteriores.

O GitHub é a principal plataforma para desenvolvedores no mundo todo, muitos dos quais hospedam seus projetos open source e repositórios em seus servidores. O incidente destaca vulnerabilidades na cadeia de suprimentos de ferramentas de desenvolvimento que atacantes exploram para coleta de credenciais e acesso não autorizado.

Resposta a Incidentes e Detalhes Técnicos

O GitHub removeu a versão da extensão maliciosa, isolou o endpoint afetado e iniciou imediatamente os procedimentos de resposta a incidentes ao detectar o problema. A empresa afirmou que está investigando o escopo completo do acesso não autorizado para determinar quais repositórios internos foram afetados.

TeamPCP Assume Responsabilidade

Um grupo de hackers chamado TeamPCP assumiu a responsabilidade pela invasão em fóruns clandestinos de hackers, segundo o Hackmanac. O grupo tentou vender dados do GitHub online, alegando ter “4.000 repositórios de código privado” relacionados à plataforma principal do GitHub e a organizações internas.

O TeamPCP é descrito como um grupo de hacking sofisticado e altamente focado em automação que transforma ferramentas de desenvolvedor comprometidas em máquinas de coleta de credenciais para ganho financeiro, de acordo com a Security Week.

Orientação de Segurança

O fundador da Binance, Changpeng Zhao, orientou os desenvolvedores a revisarem suas práticas de segurança: “Se você tem chaves de API no seu código, até em repositórios privados, agora é a hora de revisá-las novamente e alterá-las.”

Incidentes Relacionados na Segurança de Desenvolvedores

O incidente no GitHub ocorreu no mesmo dia em que a Grafana Labs, uma empresa open source de observabilidade de dados, divulgou que foi alvo de um ataque na cadeia de suprimentos. Agentes maliciosos acessaram os repositórios do GitHub da Grafana e baixaram seu código-fonte. Os atacantes fizeram uma exigência de resgate sob ameaça de divulgação de dados, que a Grafana não atendeu.

O incidente ocorre após a divulgação pública, em 28 de abril, de uma vulnerabilidade crítica de execução remota de código, CVE-2026-3854, que permitia a usuários autenticados executar comandos arbitrários nos servidores do GitHub. A Wiz Research, que descobriu a falha crítica, informou que milhões de repositórios públicos e privados pertencentes a outros usuários e organizações estavam acessíveis nos nós afetados.