GitHub подтверждает вредоносное проникновение через расширение VS Code: около 3 800 внутренних репозиториев было украдено

20 мая GitHub в X опубликовал обновление по расследованию инцидента безопасности, подтвердив, что устройства одного сотрудника были взломаны через заражённое вредоносным кодом расширение VS Code, что привело к краже примерно 3 800 внутренних репозиториев. GitHub заявляет, что нет доказательств, указывающих на то, что пострадали данные клиентов, хранившиеся за пределами внутренних кодовых баз GitHub. GitHub удалил вредоносное расширение, изолировал затронутые терминалы и выполнил ротацию ключевых учётных данных.

Подробности подтверждённого GitHub инцидента безопасности

По подтверждению GitHub в официальном посте в X:

Зона воздействия: примерно 3 800 внутренних репозиториев GitHub (заявленное атакующими количество в целом совпадает с результатами расследования GitHub)

Первопричина: устройства сотрудника были взломаны

Вектор атаки: расширение VS Code с внедрённым вредоносным кодом (атака через цепочку поставки для разработчиков)

Влияние на клиентов: GitHub подтвердил, что утечка «строго ограничена данными внутри внутренних репозиториев GitHub», не обнаружено доказательств, что пострадали клиентские данные, компании, организации или репозитории

Подтверждение действий злоумышленников

По раскрытию Dark Web Informer (информационное агентство по угрозам): злоумышленник под псевдонимом TeamPCP ещё до публикации объявления в GitHub разместил на дарквебе информацию о товарах, предлагающих к продаже внутренний исходный код GitHub и организационные данные. H2S Media подтвердила, что структура за TeamPCP и вредоносным ПО-червём Shai-Hulud — одна и та же; это вредоносное ПО недавно вызвало массовое заражение в открытых программных репозиториях.

Принятые меры реагирования

По подтверждению в официальном заявлении GitHub：

Завершено: удаление вредоносного расширения VS Code, изоляция затронутых терминалов, приоритетная ротация наиболее затронутых ключевых учётных данных (выполнено в день обнаружения инцидента и в течение той же ночи)

В процессе: анализ логов, проверка состояния ротации учётных данных, мониторинг дальнейших действий, всестороннее расследование реакции на инцидент

Планируется: после завершения расследования — публикация полного отчёта; если будут обнаружены более широкие последствия, клиенты будут уведомлены через существующие каналы реагирования на инциденты

Фон подтверждения недавнего инцидента безопасности GitHub

По подтверждённой H2S Media недавней временной шкале:

Три недели назад: исследователи Wiz раскрыли CVE-2026-3854 — критическую уязвимость удалённого выполнения кода (RCE), позволяющую любому проверенному пользователю выполнять произвольные команды на сервере бэкенда GitHub через одну команду git push

На прошлой неделе: репозиторий GitHub компании SailPoint был взломан из-за уязвимости в стороннем приложении

17 мая 2026 года: Grafana Labs подтвердила утечку токенов GitHub; злоумышленники получили доступ к репозиториям и попытались вымогать

Часто задаваемые вопросы

Влияет ли этот взлом на публичные репозитории GitHub или репозитории пользователей?

Согласно официальному заявлению GitHub, утечка «строго ограничена внутренними репозиториями GitHub», и на данный момент нет доказательств, что пострадали данные клиентов, компании, организации или репозитории. Клиентские системы не были затронуты.

Какой был входной вектор атаки и как защититься?

По подтверждению GitHub, вектор атаки — это расширение VS Code с внедрённым вредоносным кодом, относящееся к атакам через цепочку поставки для разработчиков. Основатель Binance CZ посоветовал: «API-ключи в приватных репозиториях следует немедленно проверить и заменить».

Когда GitHub опубликует полный отчёт об инциденте?

Согласно официальному заявлению GitHub, полный отчёт будет опубликован после завершения расследования, но конкретное время пока не объявлено.