GitHub подтверждает взлом 3 800 репозиториев через заражённое расширение VS Code

GitHub столкнулся с серьёзным внутренним нарушением безопасности. Компания подтвердила 20 мая 2026 года, что хакеры взломали устройство сотрудника с помощью заражённого расширения VS Code. Они получили несанкционированный доступ примерно к 3 800 внутренним репозиториям. 

GitHub отреагировал быстро: изолировал устройство, удалил вредоносное расширение и сменил критически важные учётные данные в течение нескольких часов после обнаружения. Важно отметить, что компания заявляет об отсутствии каких-либо доказательств воздействия на данные клиентов, корпоративные аккаунты или пользовательские репозитории. Сегодняшние новости о GitHub — это серьёзный сигнал для каждого разработчика, у которого API ключи хранятся в приватных репозиториях.

Как произошла атака

Вектор атаки был обманчиво прост. Злоумышленник встроил вредоносное ПО в расширение VS Code. Сотрудник GitHub установил заражённую версию. После этого атакующий получил доступ к устройству сотрудника и начал извлекать данные из внутренних репозиториев.

GitHub подтвердил хронологию событий непосредственно в публичной теме. «Вчера мы обнаружили и локализовали компрометацию устройства сотрудника с использованием заражённого расширения VS Code», — сообщила компания. «Мы удалили вредоносную версию расширения, изолировали конечную точку и немедленно приступили к реагированию на инцидент.»

Группа угроз TeamPCP впоследствии взяла на себя ответственность на подпольных форумах киберпреступников. Группа утверждает, что получила данные примерно из 4 000 приватных репозиториев. Они включают проприетарный исходный код платформы и внутренние файлы организации, и, по имеющимся сведениям, группа пытается продать набор данных более чем за 50 000$. GitHub оценил, что заявление атакующего о примерно 3 800 репозиториях «в целом согласуется» с результатами расследования на данный момент.

Реакция GitHub

Реагирование на нарушение безопасности развернулось одновременно по нескольким направлениям. GitHub сменил критически важные секреты в тот же день, что и было обнаружено нарушение, отдав приоритет учётным данным с наибольшим воздействием. Команда безопасности немедленно изолировала затронутую конечную точку. Аналитики непрерывно изучают журналы на предмет любой последующей активности. Кроме того, маркетплейс удалил вредоносную версию расширения VS Code из обращения. GitHub взял на себя обязательство опубликовать более полный отчёт после завершения расследования. Компания пообещала уведомить клиентов по установленным каналам реагирования на инциденты, если будет обнаружено какое-либо воздействие на клиентов.

Реакция отрасли

Более широкое сообщество разработчиков отреагировало быстро. Основатель Binance CZ выпустил прямое предупреждение для своей аудитории. «Если у вас есть API ключи в коде, даже в приватных репозиториях, — сейчас самое время перепроверить и сменить их», — написал он, донося новость о нарушении безопасности GitHub до миллионов разработчиков по всему миру. Этот совет не является мерой предосторожности. Он носит срочный характер. Разработчики часто хранят API ключи, токены аутентификации и учётные данные сервисов в приватных репозиториях, полагая, что они защищены от раскрытия.

Общая картина для разработчиков

Новости о нарушении безопасности такого масштаба со стороны GitHub несут в себе огромные последствия. Это объясняется тем, что GitHub хостит более 100 миллионов репозиториев и является основной кодовой инфраструктурой для глобальной экосистемы разработчиков. Следовательно, взлом, направленный на внутренние репозитории, даже без раскрытия данных клиентов, демонстрирует огромную поверхность атаки, которую представляют угрозы цепочке поставок.

Для разработчиков важны три немедленных действия. Во-первых, сменить все API ключи, хранящиеся в репозиториях, будь то приватные или публичные. Во-вторых, проверить списки расширений в VS Code и удалить всё непроверенное. Наконец, включить сканирование секретов в репозитории для автоматического обнаружения раскрытых учётных данных. Несмотря на то что расследование продолжается, прозрачность GitHub на протяжении всего процесса заслуживает внимания. Более полный отчёт, когда будет опубликован, станет обязательным чтением для каждой команды безопасности в технологической отрасли.

Запись GitHub Confirms Breach of 3 800 Repos via Poisoned VS Code Extension  впервые появилась на Coinfomania.