Violação do código-fonte do GitHub — TeamPCP afirma ter acesso ao código-fonte interno
(cybersecuritynews.com)- A TeamPCP afirma ter extraído dados organizacionais proprietários e código-fonte de sistemas internos do GitHub e estar vendendo isso em um fórum clandestino
- A postagem de venda pede ofertas acima de US$ 50 mil e afirma incluir cerca de 4.000 repositórios privados conectados à plataforma principal do GitHub
- A TeamPCP divulgou capturas de tela mostrando listas de arquivos e nomes de arquivos de repositórios como prova, e disse que fornecerá amostras para compradores sérios
- O GitHub confirmou que está investigando acesso não autorizado a repositórios internos, mas disse não haver evidências de impacto em clientes, empresas, organizações ou repositórios
- A TeamPCP é descrita como um grupo com motivação financeira rastreado como UNC6780, com histórico de abuso de credenciais de CI/CD e tokens de acesso
Alegação de violação e resposta do GitHub
- Um agente de ameaça conhecido pelo codinome TeamPCP afirma ter comprometido sistemas internos do GitHub e vazado dados organizacionais proprietários e código-fonte
- O atacante está vendendo o conjunto de dados roubados em um fórum clandestino de cibercrime, pedindo ofertas acima de US$ 50 mil
- Segundo a postagem de venda, os dados comprometidos incluem cerca de 4.000 repositórios privados diretamente conectados à plataforma principal do GitHub
- A TeamPCP apresentou como evidência capturas de tela com listas públicas de arquivos e nomes de arquivos de vários repositórios
- Também afirmou que fornecerá amostras dos dados para que compradores sérios verifiquem a autenticidade
- Após a circulação das alegações, o GitHub confirmou no X que está investigando acesso não autorizado a repositórios internos
- Até o momento, a empresa afirma não haver evidências de que empresas, organizações ou repositórios de clientes tenham sido afetados
- O GitHub também informou que está monitorando de perto sua infraestrutura para identificar atividades posteriores, e não confirmou nem negou o método de acesso nem a alegação sobre os 4.000 repositórios
- A investigação continua em andamento, e depois o GitHub publicou uma atualização após a apuração
Contexto das atividades da TeamPCP
- A TeamPCP é apresentada como um grupo de ameaça com motivação financeira rastreado pelo Google Threat Intelligence Group como UNC6780
- O grupo é conhecido por ter histórico de ataques à cadeia de suprimentos em vários ecossistemas
- O Trivy Vulnerability Scanner teria sido explorado via CVE-2026-33634, resultando na violação de mais de 1.000 organizações, incluindo a Cisco
- Checkmarx e LiteLLM foram alvos de campanhas rápidas voltadas ao roubo de credenciais dentro de pipelines de CI/CD
- Em conexão com o malware Shai-Hulud, a TeamPCP é descrita como tendo usado contas comprometidas para vazar diretamente no GitHub o código-fonte do seu próprio malware Shai-Hulud
- A TeamPCP também é apresentada como tendo um padrão operacional de explorar credenciais de CI/CD roubadas e tokens de acesso privilegiado para avançar mais profundamente dentro da infraestrutura dos alvos
1 comentários
Comentários no Lobste.rs
Vale lembrar que, há muito tempo, o GitHub já estava em um estado de código-fonte efetivamente visível
Foram até bem prestativos: embora o GHES seja baseado em Nomad, dá para obter também os charts Helm do
.comEsse foi um dos fatores que permitiram à Wiz encontrar o CVE-2026-3854
Esse grupo tem estado envolvido em vários hacks recentes (Shai-Hulud, Trivy, LiteLLM, GitHub) e, se reportagens sobre esse tipo de invasão se encaixam no tema daqui, isso pode ser interessante
Entre hackers, aparece repetidamente um sentimento do tipo: “há muitos viciados em recuperação e ex-vendedores/dealers aqui, e o cibercrime funciona como uma forma estranha de terapia. Afasta a pessoa do álcool ou das drogas, faz esquecer por um tempo uma situação ruim e dá um propósito para fazer bem algo que ela não teria permissão legal para fazer”
No HackBack, de Phineas Fisher, aparece uma formulação parecida: “hackear me fazia sentir vivo e, no começo, era uma forma de automedicação para a depressão. Depois percebi que eu podia usar isso para fazer algo positivo”. Os objetivos de TeamPCP são diferentes, mas é uma semelhança interessante
Xeet é mencionado nesta submissão: https://lobste.rs/s/ges2gt/github_source_code_breach_teampcp_claims
Fico me perguntando por que isso foi uma thread no Twitter em vez de um post de blog
O nitter.net parece instável. Há outra instância do nitter mostrando a mesma thread
Informação adicional no Twitter: https://nitter.net/xploitrsturtle2/status/2056927898771067006
Alguém provavelmente saiu do trabalho orgulhoso da velocidade com que conseguiu passar por várias camadas de gestão e pela revisão jurídica, e isso por si só pode até ter sido um feito considerável dentro de uma estrutura organizacional complexa. Mas é justamente por isso que grandes empresas têm dificuldade para realmente servir bem seus clientes