22 мая 2026, 11:17
В GitHub взломали 3800 внутренних репозиториев платформы

В GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована в результате атаки на цепочку поставок npm от TanStack на прошлой неделе.
Эта атака приписывается группе хакеров TeamPCP и началась со взлома десятков пакетов npm от TanStack и Mistral AI, а затем быстро распространилась на другие проекты (в том числе UiPath, Guardrails AI и OpenSearch) с использованием украденных учётных данных CI/CD.
TeamPCP была связана с другими крупными атаками на цепочки поставок, нацеленными на платформы для разработчиков кода, включая PyPI, NPM, GitHub и Docker, а равным образом, совсем недавно, с кампанией «Mini Shai-Hulud» (которая равным образом затронула двух сотрудников OpenAI).
В GitHub сообщили о взломе, заявив, что расследуют заявления о несанкционированном доступе к своим внутренним репозиториям. Инцидент произошёл в связи с того, что сотрудник установил вредоносное плагин для Visual Studio Code.
Директор по информационной безопасности GitHub Алексис Уэйлс объявил, что взлом был связан с вредоносной версией Nx Console. Это официальное расширения Nx для Visual Studio Code, которое даёт возможность разработчикам управлять большими репозиториями и многопроектными кодовыми базами, не полагаясь полностью на сложные команды командной строки терминала. Уэйлс добавила, что GitHub с тех пор защитила скомпрометированное девайс и пока не обнаружила доказательств кражи данных клиентов, хранящихся вне репозиториев.
«В понедельник и вторник мы перераспределили критически важные секреты, уделяя первоочередное внимание учётным данным с наибольшим риском. Мы продолжаем анализировать журналы, проверять перераспределение секретов и отслеживать инфраструктуру на предмет любой последующей активности. Мы предпримем дополнительные действия по мере необходимости в ходе расследования», — сказала Уэйлс.
Хотя в GitHub пока не связали атаку с конкретной хакерской группой или злоумышленником, TeamPCP уже заявила на форуме Breached о доступе к исходному коду GitHub и «~4000 репозиториям закрытого кода» и теперь требует за украденные информация не менее $50 000.
Накануне разработчики Nx сообщили, что совместно с GitHub и Microsoft расследуют последствия атаки, после того как вредоносная релиз Nx Console 18.95.0 была доступна на Visual Studio Marketplace около 18 минут и на OpenVSX — ещё 36 минут.
Зараженное расширение развёртывало вредоносную полезную нагрузку, предназначенную для кражи учётных данных и секретов для широкого спектра платформ, в том числе npm, AWS, Kubernetes, GitHub и GCP/Docker.
«Недавняя утечка данных из цепочки поставок Tanstack затронула одного из наших разработчиков, в результате чего его учётные данные GitHub были раскрыты через оболочку командной строки GitHub (gh). Это позволило злоумышленнику запускать рабочие процессы в нашем репозитории GitHub в качестве участника проекта. По данным Microsoft и OpenVSX, количество загрузок затронутой версии 18.95.0 составило всего 28 и 41 соответственно. [...] Через два дня после атаки наша анализ зафиксировала приблизительно 6000 активаций расширений из VSCode и 0 из других редакторов (в том числе форки VSCode, такие как Cursor)», — сообщила команда NX.
В последние годы множество других вредоносных расширений для VS Code с миллионами установок использовались для кражи учётных данных разработчиков и другой конфиденциальной информации. В прошлом году некоторое количество расширений для с 9 млн установок были удалены с официальной платформы в связи с угроз безопасности, в том числе десять, которые заразили пользователей криптомайнером XMRig, а позже на торговой площадке было обнаружено вредоносное расширение с базовыми функциями вымогателя.
В январе ещё два расширения, маскирующиеся под ИИ-помощников по программированию, были использованы для кражи данных из скомпрометированных систем разработчиков на серверы в Китае.
Читают сейчас
25 минут назад
Прокуратура Подмосковья выступает против запретов на кикшеринг и требует отмены ограничений в ряде городов региона
Прокуратура Московской области выступила против запретов на прокат электросамокатов, которые ввели в Лобне, Раменском, Люберцах и Котельниках. Об этом сообщило издание «Коммерсантъ». Ведомство считает

1 час назад
Параноидальный Claude. Sonnet 5 и Fable
После "повторного выпуска" модели Mythos, она же Fable 5 от Anthropic для пользователей платных подписок, много пользователей столкнулись с проблемой, когда схема начинает подозревать пользователя в п

2 часа назад
Anthropic научилась ознакомиться мысли Claude, которые ИИ не сообщает вслух
Исследователи Anthropic обнаружили внутри Claude небольшой набор нейронных паттернов, который они назвали J-space. Каждый паттерн связан с конкретным словом, но его активация не означает, что схема эт

4 часа назад
Минцифры представило программа «Госкан» для быстрой проверки данных по QR-коду
Минцифры РФ сообщило о выпуске мобильного приложения «Госкан» для быстрой проверки данных по QR-коду. Подход помогает сотрудникам организаций и ИП проверять информация по QR‑коду из приложений «Госусл
4 часа назад
Anthropic решила заняться разработкой собственных лекарств — и это не шутки
Anthropic провела ивент «The Briefing: AI for Science», где анонсировала Claude Science — «AI-рабочую среду для учёных», которая собирает разрозненные инструменты и наборы данных в одном интерфейсе и