Példátlan kibertámadás érte a GitHubot: egyetlen fertőzött bővítményen keresztül 3800 belső projektet törtek fel
2026. 05. 21. 10:40:26
Súlyos biztonsági incidensről számolt be kedden a GitHub, miután kiderült, hogy támadók mintegy 3800 belső repozitóriumhoz fértek hozzá egy fertőzött Visual Studio Code bővítmény segítségével. Az eset az elmúlt évek egyik legjelentősebb kibertámadásának számít a fejlesztői platformok világában, különösen azért, mert a GitHub a világ egyik legfontosabb szoftverfejlesztési infrastruktúráját működteti, amelyet vállalatok és programozók milliói használnak nap mint nap.
A támadásért a TeamPCP nevű hackercsoport vállalta a felelősséget, amely az elmúlt hónapokban több nagyszabású szoftveres ellátásilánc-támadást is végrehajtott különböző nyílt forráskódú rendszerek ellen. A csoport a GitHubtól megszerzett belső forráskódot a Breached nevű kiberbűnözői fórumon kezdte árusítani legalább 50 000 dollárért, miközben a Dark Web Informer és a The Hacker News által közzétett képernyőfelvételek szerint a támadók azt állították, hogy nem zsarolási céllal hajtották végre az akciót, hanem egyszerűen el akarják adni az ellopott adatokat, és ha nem találnak vevőt, később akár ingyenesen is kiszivárogtathatják azokat.
A GitHub közlése szerint a vállalat hétfőn észlelte a behatolást, majd gyorsan intézkedett a támadás megfékezése érdekében. A cég eltávolította a rosszindulatú bővítményt, elkülönítette az érintett fejlesztői végpontot, valamint lecserélte a kritikus hitelesítő adatokat és hozzáférési kulcsokat. A vállalat hangsúlyozta, hogy jelenlegi vizsgálataik alapján a támadók kizárólag belső repozitóriumokhoz fértek hozzá, és nincs arra utaló jel, hogy ügyféladatok, vállalati szervezetek vagy külső adattárak is érintettek lennének. A GitHub szerint a TeamPCP által említett mintegy 3800 kompromittált repozitórium nagyságrendileg összhangban áll az eddig feltárt adatokkal.
A vizsgálatok alapján a támadás kiindulópontja egy fertőzött Visual Studio Code bővítmény volt, amelyet egy alkalmazott a piactérről telepített a fejlesztői környezetébe. A támadók ezen keresztül hozzáférést szereztek a gépen tárolt hitelesítő adatokhoz, SSH-kulcsokhoz és különböző felhőszolgáltatásokhoz tartozó titkos azonosítókhoz. A GitHub egyelőre nem nevezte meg a konkrét bővítményt, azonban a The Hacker News megjegyezte, hogy az Nx Console nevű kiegészítő nemrégiben szintén kompromittálódott, és az incidens lehetővé tette több lépcsős hitelesítőadat-lopási műveletek végrehajtását.
A mostani támadás nem elszigetelt eset, hanem egy szélesebb körű, hónapok óta zajló kampány része, amelyet a TeamPCP hajt végre különböző fejlesztői eszközök és szoftvercsomagok ellen. A csoport 2026 márciusa óta több ismert rendszert is kompromittált, köztük az Aqua Security Trivy nevű eszközét, a Checkmarx KICS platformját, a BerriAI LiteLLM projektjét, a TanStack npm-csomagjait és a Microsoft durabletask PyPI-csomagját. A támadók által használt, „Mini Shai-Hulud” névre keresztelt önreplikáló kártevő ellopott hozzáférési tokenek segítségével képes továbbterjedni a fertőzött környezetek között, miközben felhőalapú hitelesítő adatokat, jelszótárolók tartalmát és SSH-kulcsokat gyűjt be.
A támadáshoz kapcsolódó X-fiókon a TeamPCP a nyilvánosságra kerülést követően azt állította, hogy a GitHub órákig tudott az incidensről, mégis késlekedett a felhasználók értesítésével, és szerintük a vállalat a jövőben sem lesz teljesen átlátható az ügy részleteivel kapcsolatban. Az eset ismét ráirányította a figyelmet arra, hogy a modern szoftverfejlesztésben milyen komoly veszélyt jelentenek az ellátásilánc-támadások, különösen akkor, amikor egyetlen fertőzött bővítmény vagy nyílt forráskódú csomag globális fejlesztői rendszerek ezreihez képes hozzáférést biztosítani a támadók számára.
