Microsoft bünyesindeki yazılım geliştirme platformu GitHub, üçüncü bir tarafın 3800 dahili deposuna yetkisiz erişim sağladığını doğruladı. İhlal, 19 Mayıs'ta tespit edildi ve GitHub güvenlik ekibinin bir çalışan cihazında bulduğu 'zehirli' bir Visual Studio Code (VS Code) eklentisinden kaynaklandığı bildirildi. VS Code, Microsoft tarafından geliştirilen ücretsiz ve açık kaynaklı bir kod düzenleyicidir ve genellikle GitHub Copilot ile birlikte kullanılır.
Saldırıyı TeamPCP adlı hacker grubu üstlendi. Grup, Breached siber suç forumunda GitHub kaynak koduna ve 'yaklaşık 4000 özel kod deposuna' eriştiklerini iddia etti. TeamPCP, çalınan veriler için en az 50 bin dolar talep ediyor. Ancak tehdit grubu, bunun bir 'fidye' olmadığını ve GitHub'ı gasp etmekle ilgilenmediklerini belirtti. Verileri yalnızca bir alıcıya satacaklarını, '50 binin altıyla ilgilenmediklerini' ve 'en iyi teklifi alanın kazanacağını' söylediler.
GitHub, ihlali doğruladıktan sonra durumu 'kontrol altına aldığını' açıkladı. 'Kötü amaçlı eklenti sürümünü kaldırdık, uç noktayı izole ettik ve hemen olay müdahalesine başladık. Kritik sırlar dün ve bu gece döndürüldü, en yüksek etkiye sahip kimlik bilgilerine öncelik verildi' dedi. Şirket, soruşturma tamamlandığında daha ayrıntılı bir rapor yayınlayacağını da vaat etti.
TeamPCP, açık kaynak ekosistemlerine yönelik büyük ölçekli yazılım tedarik zinciri saldırılarıyla hızla kötü ün kazanan bir siber tehdit grubudur. Grup daha önce Aqua Security'nin Trivy güvenlik açığı tarayıcısı ve Checkmarx'in KICS altyapı-kod analizörü gibi yaygın olarak kullanılan projeleri hedef almıştı. Ayrıca PyPI'da sahte paketler yayınlayarak kimlik bilgisi çalan kötü amaçlı yazılımlar dağıttılar. TeamPCP, elde ettikleri sırları paraya çevirmek için Lapsus$ ve Vect fidye yazılım grubu gibi aktörlerle ortaklık kurdu.