🚨 СРОЧНО: GitHub подтвердил взлом своих внутренних репозиториев.

Злоумышленник взломал устройство сотрудника через заражённое расширение Visual Studio Code. Из этой единственной точки доступа он проник в внутренние репозитории GitHub, украл секреты и унес, по их словам, около 4000 приватных репозиториев исходного кода и данных внутренней организации.
Агент угрозы, TeamPCP, выставил всё на продажу на форуме Breached вчера с минимальной ценой в 50 000 долларов. Их условия прямо скажем. Один покупатель, без переговоров, и если никто не заплатит, весь набор данных будет опубликован бесплатно.
GitHub заявил, что удалил вредоносную версию расширения, изолировал устройство, сменил критические секреты и активировал реагирование на инциденты.
Компания утверждает, что в настоящее время нет доказательств воздействия на репозитории клиентов, предприятия или организации, хранящиеся вне их собственной инфраструктуры.
Вектор атаки — это часть, которая стоит того, чтобы о ней задуматься.
Это не уязвимость платформы GitHub. Это заражённое расширение в магазине VS Code, выполненное на ноутбуке разработчика, использованное для доступа ко всему, что могло быть достигнуто с этого ноутбука.
На той же неделе два популярных рабочих процесса GitHub Actions (actions-cool/issues-helper и actions-cool/maintain-one-comment) были скомпрометированы через манипуляцию тегами для кражи учетных данных CI/CD, а критическая уязвимость RCE в самом GitHub, CVE-2026-3854, была исправлена после того, как исследователи показали, что её можно активировать одним git push.
Три отдельных инцидента, одно и то же сообщение. Платформа усилена. Цепочка поставок вокруг неё — это слабое место.
Для тех, кто сейчас строит на GitHub, немедленный чек-лист прост.
Проверьте установленные расширения VS Code. Зафиксируйте Actions GitHub на конкретных SHA коммитах, а не на тегах. Смените любые токены, ключи для деплоя или секреты, которые могли попасть в заражённую среду за последние две недели.