Ключевые выводы
- GitHub подтвердил компрометацию около 3 800 внутренних репозиториев после заражения устройства сотрудника вредоносным VS Code‑расширением.
- Группа TeamPCP взяла на себя ответственность, продаёт украденные данные на кибер‑форуме, но не требует выкуп.
- Атака подтверждает рост целевых ударов по популярным open‑source проектам и расширениям, что ставит под угрозу не только код, но и машины разработчиков.
GitHub — один из самых крупных хостинг-провайдеров кода, и даже небольшая уязвимость в популярном расширении может привести к масштабной утечке. Защищайте свои инструменты и следите за официальными каналами безопасности.
Что случилось: факт за фактом
Microsoft‑принадлежащий GitHub объявил, что в результате кибератаки была скомпрометирована примерно 3 800 внутренних репозиториев. По словам компании, данные клиентов, хранящиеся за пределами внутренних репозиториев, не были затронуты, но расследование продолжается.
Взлом был обнаружен после того, как система безопасности выявила «отравленное» расширение для Visual Studio Code — популярного редактора кода, которым пользуются миллионы разработчиков. Расширение было установлено на одном из устройств сотрудника, откуда злоумышленники получили доступ к внутренним репозиториям.
Группа хакеров TeamPCP публично заявила о своей причастности и начала продавать полученные данные на специализированных кибер‑форумов. Запросов о выкупе не было, но сама продажа уже ставит под угрозу конфиденциальность кода и потенциальных проектов, находящихся в этих репозиториях.
GitHub пока не уточнил, какие именно проекты пострадали, но подчеркнул, что компрометация ограничена внутренними репозиториями, а пользовательские данные и публичные репозитории остались в безопасности.
Почему атакуют расширения VS Code
Расширения в VS Code — это небольшие плагины, которые расширяют функциональность редактора (подсветка синтаксиса, автодополнение, интеграция с CI/CD и т. д.). Их популярность делает их идеальной «точкой входа» для атак: один заражённый пакет может попасть сразу на сотни, а то и тысячи машин.
Хакеры используют такие сценарии:
- Встроенный инфостилер, который крадёт токены доступа и пароли.
- Подмену зависимостей, приводящую к запуску вредоносного кода при сборке проекта.
- Создание задних дверей, позволяющих получить доступ к приватным репозиториям компании.
Эти приёмы позволяют атакующим значительно расширять масштаб атаки без необходимости взламывать каждый отдельный компьютер.
Кто стоит за атакой: TeamPCP
TeamPCP — относительно малоизвестная, но активная кибергруппа, ранее заявившая о взломе Европейской комиссии и кражe более 90 ГБ данных из облачных хранилищ. В том случае они получили облачный ключ через компрометацию инструмента Trivy, использующегося для сканирования уязвимостей.
Сейчас группа утверждает, что их цель — коммерческая выгода: данные о репозиториях они продают на черных рынках. Такая модель противоречит более привычному «выкуп за данные» и показывает, что киберпреступники уже экспериментируют с новыми способами монетизации.
Последствия для разработчиков и компаний
Для большинства компаний уязвимость в «внутренних» репозиториях означает потенциальный утечку кода, который ещё не опубликован. Это может привести к:
- Потере интеллектуальной собственности.
- Узнаваемости уязвимостей в незапущенных продуктах.
- Необходимости провести полное ревью кода и смену всех токенов доступа.
Для индивидуальных разработчиков риски чуть ниже, но если они используют заражённое расширение, их машины могут стать «мостом» к корпоративным сетям.
Как защититься от подобных атак
Простые практики могут значительно снизить риск:
- Устанавливайте только официальные расширения. Проверяйте, публикуется ли пакет в официальном Marketplace VS Code и имеет ли подпись.
- Обновляйте IDE и плагины каждый день. Злоумышленники часто используют известные уязвимости, которые уже исправлены в новых версиях.
- Разделяйте рабочие и личные машины. Если один из компьютеров попадает под контроль, это не даст доступа к корпоративным репозиториям.
- Включайте двухфакторную аутентификацию (2FA) для GitHub. Даже если токен будет украден, без второго фактора злоумышленник не получит вход.
- Отслеживайте аномальную активность. GitHub и другие сервисы предлагают оповещения о новых SSH‑ключах, странных IP‑логинах и т. д.
Справка
GitHub — крупнейший в мире сервис для хостинга кода, основан в 2008 году Трэвисом Оливаном и Питером Синигером, куплен Microsoft в 2018 году за $7,5 млрд. Предлагает Git‑репозитории, CI/CD, пакетный менеджер и множество интеграций.
Microsoft — технологический гигант, основанный Биллом Гейтсом и Полом Алленом в 1975 году. Владельцем Azure, Visual Studio и множества облачных сервисов, включая GitHub.
Visual Studio Code (VS Code) — бесплатный кроссплатформенный редактор кода, выпущенный Microsoft в 2015 году. Поддерживает расширения, написанные на JavaScript/TypeScript, что делает их уязвимыми к подмене.
TeamPCP — кибергруппа, известная компрометацией инфраструктуры Европейской комиссии в 2025 году и последующей продажей украденных данных. Работает в тёмных форумах, использует «crime‑as‑service» модели.
Trivy — открытый сканер уязвимостей, который проверяет контейнерные образы и репозитории на наличие известных CVE. Был скомпрометирован в 2024 году, что позволило злоумышленникам получить облачный ключ Европейской комиссии.
Итак, даже самая надёжная платформа не застрахована от человеческой ошибки. Проверяйте расширения, держите инструменты в актуальном состоянии и не игнорируйте сигналы безопасности — так вы сможете снизить риск стать следующей жертвой.
