Violati repository interni di GitHub

Tra il 19 e il 20 maggio 2026, GitHub ha confermato un incidente di sicurezza che ha coinvolto i propri sistemi interni. Un aggressore che si identifica come TeamPCP, tracciato anche come UNC6780, ha compromesso il dispositivo di sviluppo di un dipendente tramite una estensione malevola di Visual Studio Code, utilizzando poi questo accesso iniziale per clonare circa 3.800 repository interni di GitHub. Secondo quanto riportato, l’attaccante avrebbe messo in vendita i dati su un forum criminale per oltre 50.000 dollari.

GitHub ritiene che repository dei clienti, account enterprise e dati utente non siano stati coinvolti. Sulla base delle evidenze attuali, la compromissione sembrerebbe limitata esclusivamente all’infrastruttura aziendale interna di GitHub. L’azienda ha dichiarato di aver ruotato le credenziali, isolato gli endpoint interessati e di proseguire le indagini.

Sophos ha effettuato verifiche sulla propria infrastruttura interna senza rilevare alcun segno di compromissione.

Cosa è accaduto

Secondo le dichiarazioni pubbliche di GitHub e quanto riportato da The Hacker News, Cybersecurity News e altre fonti, l’incidente si sarebbe sviluppato nel seguente modo:

Accesso iniziale

TeamPCP ha distribuito una estensione compromessa di Visual Studio Code sul dispositivo di sviluppo di un dipendente GitHub. L’estensione ha sottratto segreti di sviluppo e token di accesso presenti nell’ambiente locale dell’IDE.

Furto dei repository

Utilizzando le credenziali rubate, gli attaccanti hanno clonato circa 3.800 repository privati interni di GitHub contenenti codice sorgente proprietario, script di deployment e materiali di configurazione interna. I media avevano inizialmente parlato di circa 4.000 repository; GitHub ha definito la cifra inferiore “coerente con la direzione delle indagini”.

Monetizzazione

TeamPCP ha messo in vendita i dati rubati su un forum cybercriminale e ha utilizzato un account X/Twitter presumibilmente associato (xploitrsturtle2) per provocare pubblicamente GitHub.

Rilevamento da parte di GitHub

GitHub ha individuato la violazione il 19 maggio, avviando immediatamente le attività di incident response e la rotazione delle credenziali critiche nello stesso giorno. La versione malevola dell’estensione è stata rimossa e gli endpoint infetti sono stati isolati.

Principali TTP di TeamPCP

La caratteristica distintiva di TeamPCP è l’accesso indiretto ottenuto compromettendo strumenti open source di sicurezza e sviluppo già considerati affidabili e utilizzati dai target. Di seguito le principali tecniche osservate, mappate ai relativi identificativi MITRE ATT&CK.

• Compromissione della supply chain software (T1195.002)
  Manomissione di strumenti fidati (ad esempio Trivy, Checkmarx, LiteLLM) per distribuire malware attraverso ecosistemi legittimi di aggiornamento e pacchetti software.
• Raccolta massiva di credenziali (T1555 / T1003)
  Furto di password, chiavi API, credenziali cloud e segreti CI/CD da ambienti di sviluppo e produzione compromessi.
• Abuso di account validi per movimenti laterali (T1078)
  Riutilizzo di token rubati e credenziali degli sviluppatori per spostarsi tra repository, pipeline e organizzazioni.
• Abuso di pipeline CI/CD ed ecosistemi di pacchetti (T1608.004)
  Compromissione delle pipeline di build e pubblicazione di pacchetti malevoli per propagare l’accesso verso utenti e dipendenze a valle.
• Propagazione automatizzata tramite dipendenze software (T1210 / T1105)
  Distribuzione di malware auto-propaganti (ad esempio CanisterWorm) per diffondersi attraverso npm e workflow di sviluppo su larga scala.

Risposta di Sophos

Sophos ha monitorato attivamente l’incidente fin dalla sua divulgazione pubblica iniziale. Internamente sono state svolte le seguenti attività:

Analisi dell’infrastruttura interna

Sono stati controllati proxy di rete, firewall on-premise, eventi centralizzati, DNS, ZTNA e log di audit GitHub sulla base delle informazioni disponibili. Non sono emerse evidenze di compromissione. Un numero limitato di rilevamenti è stato attribuito a bot esterni non autenticati che effettuavano scansioni di un percorso URL “/git-service”, poi esclusi come non correlati.

Revisione dei log di audit GitHub

Sono stati analizzati eventi anomali relativi a token, segreti, OAuth, webhook e download negli ultimi 30 giorni; tutte le attività sono risultate coerenti con operazioni ordinarie.

Ricerca di estensioni VS Code sospette

È stato raccolto l’elenco delle estensioni VS Code presenti nell’ambiente Sophos, valutandone reputazione dei publisher e permessi richiesti. Le attività di verifica sono ancora in corso.

Monitoraggio continuo

Sophos X-Ops continua a monitorare l’evoluzione dell’incidente.

Raccomandazioni

SophosLabs sta monitorando l’incidente e valuterà eventuali opportunità di rilevamento e mitigazione associate alle attività di sfruttamento. Sophos X-Ops raccomanda di:

• Verificare le estensioni VS Code installate
  Inventariare le estensioni presenti sugli endpoint di sviluppo e sulle immagini VDI. Segnalare tutto ciò che esula da un elenco approvato, in particolare publisher nuovi o poco noti, typosquatting, recenti ampliamenti dei permessi ed estensioni che consentono integrazione shell o esecuzione di task su repository fidati.
• Individuare anomalie legate agli IDE
  Sugli endpoint degli sviluppatori, monitorare processi figli di VS Code che avviano Git o strumenti per credenziali al di fuori degli orari lavorativi; download di archivi seguiti immediatamente dall’esecuzione di interpreti; connessioni in uscita verso domini nuovi o rari provenienti dagli host di sviluppo.
• Rafforzare l’identità degli sviluppatori
  Applicare token a breve durata, accessi limitati e Single Sign-On per il controllo del codice sorgente. Ruotare eventuali token di accesso a lunga durata presenti sugli host potenzialmente coinvolti. Analizzare i log di audit per individuare comportamenti di clonazione massiva o pattern insoliti di lettura dei repository.