Группа злоумышленников TeamPCP, также известная как UNC6780, заявила о взломе внутренней инфраструктуры GitHub. По данным, опубликованным на форумах в теневой сети, атакующие утверждают, что получили доступ примерно к 4000 частных репозиториев, содержащих исходный код и конфиденциальные данные компании. Украденный набор данных предлагается к продаже за сумму, превышающую 50 000 долларов США. GitHub подтвердил факт инцидента и начал расследование, подчеркнув, что на данный момент нет подтверждений компрометации пользовательских данных.
В пользу достоверности заявления TeamPCP свидетельствуют опубликованные артефакты. На платформах мониторинга теневой сети Darkweb Informer были размещены скриншоты архивов репозиториев и частичные списки файлов. Кроме того, группа заявила о готовности предоставить образцы данных серьёзным покупателям для проверки подлинности. На момент подготовки материала независимое подтверждение заявленного объёма утечки отсутствует. Компания GitHub не раскрыла вектор первоначального проникновения и не подтвердила цифру в 4000 скомпрометированных репозиториев.
Ответ GitHub последовал быстро. В официальном сообщении, опубликованном в аккаунте компании в X (бывший Twitter), говорится о расследовании несанкционированного доступа к внутренним репозиториям. Представители сервиса особо подчеркнули, что на текущем этапе нет признаков утечки данных клиентов, включая корпоративные аккаунты, организации и репозитории пользователей. Затронутые лица будут уведомлены через установленные каналы реагирования на инциденты, если подтверждённое воздействие будет обнаружено. Компания также заявила о мониторинге инфраструктуры на предмет признаков дальнейшей вредоносной активности.
Сама по себе команда TeamPCP не является новой для индустрии информационной безопасности. Группа, за которой закреплён оперативный номер раннего предупреждения UNC6780, ведётся аналитиками Google Threat Intelligence. Это финансово мотивированные злоумышленники, известные способностью проводить сложные атаки на цепочки поставок. В 2026 году TeamPCP была причастна к ряду громких инцидентов. Среди наиболее значимых - компрометация сканера уязвимостей Trivy через эксплуатацию уязвимости CVE-2026-33634 (ограничение, позволяющее обход проверок подлинности), затронувшая более 1000 организаций. Также зафиксированы целенаправленные атаки на Checkmarx и LiteLLM, где основным фокусом был сбор учётных данных в конвейерах разработки. Кроме того, группа распространяла вредоносное ПО Shai-Hulud через скомпрометированные аккаунты на GitHub, а позднее публично опубликовала его код. Во всех этих атаках прослеживается характерный почерк: злоумышленники активно злоупотребляют конвейерами CI/CD (системами непрерывной интеграции и доставки кода) для эскалации привилегий и латерального перемещения внутри инфраструктуры.
Предыдущая активность TeamPCP существенно повышает уровень доверия к текущим заявлениям. Аналитики отмечают, что группа демонстрирует продвинутые навыки в эксплуатации конвейеров CI/CD, использует украденные учётные данные и токены доступа для проникновения в среды разработки. Этот же арсенал, вероятно, был применён и в случае с GitHub. Если изложенные факты подтвердятся, масштаб утечки может оказаться серьёзным. Под ударом могут оказаться внутренние инструменты, рабочие процессы и конфигурации безопасности самого GitHub. Учитывая статус платформы как критической инфраструктуры для миллионов разработчиков по всему миру, такая утечка может создать значительный риск для цепочек поставок программного обеспечения.
Публикация указывает на системную проблему, с которой сталкиваются крупные технологические компании. Даже при наличии многоуровневой защиты, внутренние репозитории и конвейеры разработки остаются уязвимой целью для опытных злоумышленников. Инцидент подтверждает долгосрочный тренд: фокус атак смещается с конечных пользователей и их данных на инфраструктуру разработки и внутренние инструменты, компрометация которых позволяет нанести удар по широкому кругу клиентов и партнёров.
Ожидается, что по мере продвижения расследования GitHub предоставит более подробные технические детали и вектор атаки. Для пользователей и клиентов платформы текущим выводом остаётся рекомендация сохранять бдительность, особенно в части смены токенов доступа и ключей API, которые могли быть скомпрометированы косвенно. Рынок реагирует на событие с осторожностью, ожидая официальных подтверждений или опровержений заявленного масштаба. Ситуация продолжает развиваться, и последующие обновления от GitHub прояснят, насколько серьёзным оказался удар по одной из ключевых платформ современной разработки.
