GitHub กำลังสืบสวนการเข้าถึงโดยไม่ได้รับอนุญาตต่อที่เก็บข้อมูลภายใน หลังอุปกรณ์ของพนักงานรายหนึ่งถูกบุกรุก ตามที่บริษัทประกาศเมื่อวันพุธ แพลตฟอร์มสำหรับนักพัฒนาระบุและสกัดกั้นการบุกรุกได้ในวันอังคาร ซึ่งเกี่ยวข้องกับส่วนขยาย VS Code ที่ถูกใส่รหัสอันตราย (poisoned) และถูกนำมาใช้เพื่อเข้าถึง แม้ขณะนี้ GitHub ยังไม่มีหลักฐานว่ามีผลกระทบต่อข้อมูลลูกค้าที่จัดเก็บอยู่นอกที่เก็บข้อมูลภายใน แต่บริษัทกำลังติดตามโครงสร้างพื้นฐานอย่างใกล้ชิดเพื่อดูว่ามีการกระทำต่อเนื่องหรือไม่
GitHub เป็นแพลตฟอร์มหลักสำหรับนักพัฒนาทั่วโลก ซึ่งหลายคนใช้เซิร์ฟเวอร์ของ GitHub ในการโฮสต์โปรเจกต์โอเพนซอร์สและที่เก็บข้อมูล เหตุการณ์นี้สะท้อนให้เห็นถึงช่องโหว่ในห่วงโซ่อุปทานของเครื่องมือสำหรับนักพัฒนาที่ผู้โจมตีใช้ในการขโมยข้อมูลรับรองและเข้าถึงโดยไม่ได้รับอนุญาต
การตอบสนองต่อเหตุการณ์และรายละเอียดทางเทคนิค
GitHub ได้ลบเวอร์ชันส่วนขยายที่เป็นอันตราย แยกอุปกรณ์ปลายทางที่ได้รับผลกระทบ (endpoint) และเริ่มขั้นตอนการตอบสนองต่อเหตุการณ์ทันทีหลังตรวจพบ บริษัทระบุว่ากำลังสืบสวนขอบเขตทั้งหมดของการเข้าถึงโดยไม่ได้รับอนุญาต เพื่อหาว่าที่เก็บข้อมูลภายในใดได้รับผลกระทบบ้าง
ทีม TeamPCP อ้างความรับผิดชอบ
กลุ่มแฮกเกอร์ที่ชื่อว่า TeamPCP อ้างว่าเป็นผู้รับผิดชอบต่อการบุกรุกในเว็บบอร์ดของแฮกเกอร์ใต้ดิน ตามรายงานของ Hackmanac กลุ่มดังกล่าวพยายามขายข้อมูลของ GitHub ออนไลน์ โดยอ้างว่ามี “4,000 repos ของโค้ดส่วนตัว” ที่เกี่ยวข้องกับแพลตฟอร์มหลักของ GitHub และองค์กรภายใน
มีการอธิบายว่า TeamPCP เป็นกลุ่มแฮกเกอร์ที่มีความซับซ้อน ใช้ระบบอัตโนมัติเป็นหลัก และเปลี่ยนเครื่องมือสำหรับนักพัฒนาที่ถูกบุกรุกให้กลายเป็นเครื่องมือสำหรับการขโมยข้อมูลรับรองเพื่อแสวงหากำไรทางการเงิน ตามรายงานของ Security Week
คำแนะนำด้านความปลอดภัย
Changpeng Zhao ผู้ก่อตั้ง Binance แนะนำให้นักพัฒนาทบทวนแนวปฏิบัติด้านความปลอดภัย: “หากคุณมีคีย์ API ในโค้ด ไม่ว่าจะเป็นใน repo ส่วนตัวก็ตาม ตอนนี้คือเวลาที่จะตรวจสอบซ้ำและเปลี่ยนทันที”
เหตุการณ์ที่เกี่ยวข้องด้านความปลอดภัยสำหรับนักพัฒนา
เหตุการณ์ของ GitHub เกิดขึ้นในวันเดียวกับที่ Grafana Labs บริษัทโอเพนซอร์สด้านการสังเกตการณ์ข้อมูล (data observability) เปิดเผยว่าโดนโจมตีผ่านการโจมตีในห่วงโซ่อุปทาน (supply-chain attack) ผู้ไม่หวังดีเข้าถึงที่เก็บข้อมูล GitHub ของ Grafana และดาวน์โหลดโค้ดเบสของบริษัท ผู้โจมตีออกข้อเรียกร้องค่าไถ่ภายใต้เงื่อนไขข่มขู่ว่าจะเปิดเผยข้อมูล ซึ่ง Grafana ไม่ยอมตามข้อเรียกร้อง
เหตุการณ์นี้เกิดขึ้นหลังจากการเปิดเผยสาธารณะเมื่อวันที่ 28 เมษายน เกี่ยวกับช่องโหว่ร้ายแรงในการรันโค้ดจากระยะไกล (remote code execution) CVE-2026-3854 ซึ่งทำให้ผู้ใช้ที่ยืนยันตัวตนแล้วสามารถรันคำสั่งตามอำเภอใจบนเซิร์ฟเวอร์ของ GitHub Wiz Research ซึ่งเป็นผู้ค้นพบช่องโหว่ร้ายแรง รายงานว่าโหนดที่ได้รับผลกระทบมีที่เก็บข้อมูลสาธารณะและส่วนตัวที่เป็นของผู้ใช้และองค์กรอื่นจำนวนหลายล้านชุดที่เข้าถึงได้
