Хакерская группировка TeamPCP утверждает, что получила исходный код тысяч приватных проектов и уже выставила данные на продажу
Компания GitHub подтвердила компрометацию примерно 3800 внутренних репозиториев после того, как один из сотрудников установил вредоносное расширение для Visual Studio Code. По данным компании, заражённый плагин уже удалён из списка расширений VS Code Marketplace, а скомпрометированное устройство изолировано.
Ответственность за атаку взяла на себя хакерская группировка TeamPCP. На форуме Breached злоумышленники заявили, что получили доступ примерно к 4000 приватных репозиториев GitHub и готовы продать украденные данные минимум за $50 тысяч. По словам самих хакеров, речь идёт не о вымогательстве: если покупатель не найдётся, то архивы обещают выложить бесплатно.
GitHub утверждает, что пока не обнаружил признаков утечки пользовательских данных за пределами внутренних репозиториев компании. Однако сама атака снова показала главную проблему современной экосистемы разработки: расширения для VS Code становятся всё более популярным каналом supply chain-атак. Через них злоумышленники крадут токены, исходный код и доступы к инфраструктуре разработчиков.
TeamPCP уже связывали с крупными атаками на PyPI, npm и Docker-экосистему. Ранее группировка фигурировала в кампании Mini Shai-Hulud, затронувшей в том числе сотрудников OpenAI. За последние годы Microsoft неоднократно удаляла из VS Code Marketplace вредоносные плагины с миллионами установок — от криптомайнеров до примитивных шифровальщиков.
Масштаб потенциального ущерба огромен: GitHub используется более чем 180 млн разработчиков и 4 млн организаций, включая 90% компаний из списка Fortune 100.
