O GitHub confirmou que um grupo de hackers invadiu seus sistemas e extraiu dados de 3.800 repositórios internos de código. A porta de entrada foi uma extensão infectada no marketplace do Visual Studio Code, que comprometeu o dispositivo de um funcionário da empresa. Dados de usuários armazenados fora desse ambiente não foram afetados.
O grupo TeamPCP assumiu a autoria do ataque e colocou os arquivos à venda em fórum hacker por US$ 50 mil, com ameaça de divulgação pública do material. O GitHub confirmou que o volume de dados anunciado corresponde ao identificado em sua própria investigação.
A equipe de segurança isolou o equipamento comprometido assim que detectou a invasão, baniu o plugin do marketplace do VS Code e iniciou a substituição de credenciais e chaves criptográficas, priorizando as de maior sensibilidade. Um relatório técnico completo será divulgado ao término da apuração interna.
Leia também: ServiceNow gere 4 bilhões de fluxos no Brasil
Ataque à cadeia de suprimentos
O caso representa o tipo de ameaça mais difícil de conter no setor: a contaminação de ferramentas legítimas para atingir alvos de maior porte. O marketplace do VS Code acumula histórico de extensões disfarçadas de assistentes de IA ou mineradores de criptomoedas. No ataque ao GitHub, o vetor foi um cavalo de Troia embutido em um plugin aparentemente funcional.
O TeamPCP opera em escala. O grupo roubou mais de 90 gigabytes de dados da Comissão Europeia e assinou a campanha de malware Mini Shai-Hulud, que infectou ferramentas de código aberto para chegar a computadores de engenheiros da OpenAI.
Escala do alvo
O GitHub atende mais de 180 milhões de desenvolvedores, hospeda 420 milhões de repositórios e integra o fluxo de trabalho de 4 milhões de empresas, incluindo 90% das corporações da lista Fortune 100. A contenção rápida evitou que a intrusão se propagasse pelos sistemas dos clientes.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
