В администрации платформы для хостинга IT-проектов и совместной разработки GitHub подтвердили ситуацию с несанкционированным доступом к своим внутренним репозиториям. Этот инцидент произошёл из-за заражённого устройства сотрудника через зловредное расширение VS Code.
1. Мы делимся дополнительными подробностями относительно нашего расследования несанкционированного доступа к внутренним репозиториям GitHub. Вчера мы обнаружили и локализовали компрометацию устройства сотрудника, связанную с заражённым расширением VS Code. Мы удалили вредоносную версию расширения, изолировали эндпойнт и немедленно приступили к реагированию на инцидент.
2. Наша текущая оценка заключается в том, что эта активность включала только извлечение внутренних репозиториев GitHub. Текущие утверждения злоумышленника о ~3 800 репозиториях в целом соответствуют направлению нашего расследования на данный момент.
3. Мы быстро приступили к снижению риска. Критические секреты были обновлены вчера и за ночь, с приоритетом на учётные данные с наибольшим воздействием в первую очередь.
4. Мы продолжаем анализировать логи, проверять ротацию секретов и отслеживать любую последующую активность. Мы предпримем дополнительные действия по мере необходимости расследования.
5. Мы опубликуем полный отчёт, как только расследование будет завершено.
«Мы расследуем несанкционированный доступ к внутренним репозиториям GitHub. Хотя на данный момент у нас нет доказательств влияния на информацию клиентов, хранящуюся вне внутренних репозиториев GitHub (например, предприятия, организации и репозитории наших клиентов), мы внимательно отслеживаем нашу инфраструктуру на предмет последующей активности. Если будет обнаружено какое-либо воздействие, мы уведомим клиентов через установленные каналы реагирования на инциденты и уведомлений», — пояснили в GitHub.
Ранее хакерская группа TeamPCP заявила о получении доступа примерно к 4000 репозиториям GitHub, содержащим закрытый код.
В начале марта 2026 года GitHub устранил критическую уязвимость удалённого выполнения кода (CVE-2026-3854), которая могла позволить злоумышленникам получить доступ к миллионам частных репозиториев. Уязвимость CVE-2026-3854 затрагивает GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud с Data Residency, GitHub Enterprise Cloud с Enterprise Managed Users и GitHub Enterprise Server. Для успешной эксплуатации достаточно одной специально созданной вредоносной команды ‘git push’, которая может предоставить злоумышленникам с правами на отправку данных полный доступ на чтение/запись к частным репозиториям на GitHub.com или уязвимым серверам GitHub Enterprise.
ссылка на оригинал статьи https://habr.com/ru/articles/1037148/