O GitHub está investigando acesso não autorizado a repositórios internos após o grupo TeamPCP anunciar à venda o código-fonte e organizações internas da plataforma; a companhia afirma não ter evidências, até o momento, de impacto a dados de clientes armazenados fora desses repositórios e está monitorando sua infraestrutura, tendo detectado que a intrusão começou com um dispositivo de funcionário comprometido por uma extensão maliciosa do Visual Studio Code, o que levou à rotação de segredos críticos e à priorização das credenciais de maior risco; relatos apontam para cerca de 3.800 repositórios expostos, menção à extensão NX Console entre os componentes afetados e ligação a uma campanha maior chamada Mini Shai-Hulud, cujo payload substituto coleta credenciais de provedores de nuvem, gerenciadores de senha e ferramentas de desenvolvimento e pode exfiltrar dados para domínios controlados pelos atacantes, sendo recomendado tratar máquinas com versões afetadas como totalmente comprometidas.
O GitHub confirmou que está investigando acesso não autorizado a repositórios internos depois que o grupo TeamPCP colocou o código-fonte e organizações internas da plataforma à venda.
Até o momento, não há evidências de que dados de clientes armazenados fora desses repositórios internos tenham sido afetados, mas a empresa está monitorando sua infraestrutura em busca de atividades adicionais.
O suposto vazamento, segundo publicações do grupo, inclui aproximadamente 4.000 repositórios e foi anunciado com um valor mínimo pedido de US$ 50.000.
Em resposta, o GitHub detectou e conteve a intrusão de um dispositivo de um funcionário que foi comprometido por meio de uma extensão maliciosa do Visual Studio Code.
Como medida de mitigação, a empresa rotacionou segredos críticos, dando prioridade às credenciais de maior impacto.
Os números relatados — cerca de 3.800 repositórios — estão alinhados com o que a investigação tem indicado até agora.
Entre os componentes comprometidos está a extensão NX Console, que foi apontada como alvo pelo grupo.
Pesquisadores de segurança também relataram que a campanha mais ampla, chamada Mini Shai-Hulud, usa um payload substituto capaz de roubar credenciais de provedores de nuvem, gerenciadores de senhas e ferramentas de desenvolvimento.
Além disso, esse payload pode exfiltrar dados para domínios controlados pelos atacantes, e especialistas alertam que o conjunto de pacotes afetados tende a crescer.
Máquinas com versões afetadas devem ser tratadas como totalmente comprometidas até que se confirme o contrário.
