TeamPCP weszło do GitHub. I tego samego dnia opublikowało kod Shai-Huluda na GitHubie. Pod licencją MIT.

GitHub potwierdził 20 maja o 04:17 EDT: nieautoryzowany dostęp do około 3 800 wewnętrznych repozytoriów. Wektor: poisoned VS Code extension na urządzeniu pracownika. Skradzione repozytoria: GitHub Actions, agentic workflows, wewnętrzne projekty Copilot, narzędzia CodeQL, infrastruktura, narzędzia bezpieczeństwa, Codespaces, Dependabot. Rails controller i Pull Requests Controller odpowiedzialne za zarządzanie organizacjami i każdym pull requestem na platformie.

TeamPCP wystawia to wszystko za 50 000 dolarów na forum Breached. Razem z Lapsus$, które dołączyło jako partner sprzedaży: wspólna oferta za 95 000 dolarów.

Tego samego dnia — konto powiązane z TeamPCP publikuje kod źródłowy Shai-Huluda na GitHubie. Pod licencją MIT.

Platform na której ukradziono 3 800 repozytoriów hostuje teraz broń której użyto do kradzieży.

Jak weszli

Vector był prosty — i jest on mierzalnym sygnałem o tym co bezpieczeństwo większości organizacji nadal ignoruje.

Jeden pracownik GitHub zainstalował złośliwą wersję rozszerzenia VS Code. GitHub Security Team wykrył kompromitację urządzenia, usunął złośliwą wersję rozszerzenia, wyizolował endpoint i zaczął incident response.

Za późno.

Mackenzie Jackson z Aikido Security: "A single VS Code extension on one employee's machine was enough to get access to 3,800 internal GitHub repositories. Most security teams still have zero visibility into what extensions or packages are on their developers' machines, or how recently they were published. That's the blind spot these attacks keep walking through."

Pisaliśmy o TrustFall — jeden klawisz Enter i niesandboxowany Node.js. O ClaudeBleed — każde rozszerzenie Chrome może przejąć Claude'a. O OpenClaw z 245 000 wystawionymi instancjami. VS Code Marketplace jako wektor ataku to następny punkt na tej samej liście.

Rozszerzenie które zaatakowane GitHub to Nx Console — 2,2 miliona instalacjizainfekowane wczoraj. Jedno złośliwe rozszerzenie. Jeden pracownik który je zainstalował. 3 800 repozytoriów.

Co jest w tych repozytoriach

GitHub nie ujawnił pełnych szczegółów — dochodzenie trwa. Ale lista która wyciekła przez badacza Rakesh Krishnana jest wystarczająca żeby zrozumieć skalę:

GitHub Actions. Agentic workflows. Wewnętrzne projekty GitHub Copilot. Narzędzia CodeQL. Infrastruktura wewnętrzna. Narzędzia bezpieczeństwa. Rails controller zarządzający organizacjami. Pull Requests Controller odpowiedzialny za każdy pull request na platformie.

SOCRadar opisuje ryzyko: "Hostile actors reviewing internal source code can identify previously unknown vulnerabilities in the platform itself — vulnerabilities affecting not just GitHub but potentially every organization that relies on it."

Platforma której używa 90% Fortune 100 i 180 milionów deweloperów hostuje ponad 420 milionów repozytoriów. Wewnętrzny kod GitHub — mechanizmy pull requestów, zarządzanie organizacjami, infrastruktura Copilot — to nie są dane jednej firmy. To jest kod który opisuje jak działa infrastruktura na której siedzi większość globalnego ekosystemu open source.

Najgorszy miesiąc GitHuba

How2shout zestawia to w oś czasu która mówi sama za siebie.

Trzy tygodnie temu: CVE-2026-3854 — jeden średnik w git push, miliony repozytoriów w zasięgu. Ujawnione przez Wiz Research. Błąd naprawiony.

Tydzień temu: SailPoint — breach repozytoriów GitHub przez podatność w aplikacji trzeciej strony. Mniej głośny, ale ten sam wzorzec.

17 maja: Grafana Labs potwierdza breach tokenów GitHub po tym jak atakujący uzyskali dostęp do repozytoriów i próbowali extortion. Ten sam łańcuch — TanStack → skradzione tokeny → Grafana.

20 maja: 3 800 wewnętrznych repozytoriów GitHub. TeamPCP i Lapsus$ razem, 95 000 dolarów.

Cztery osobne incydenty w cztery tygodnie. Trzy z nich mają jednego mianownika: Team PCP.

Piąty raz. Ten sam mianownik.

W analizie TeamPCP z maja pisaliśmy o grupie jako "access generation engine" — nie finalny atakujący, ale producent dostępu sprzedawanego innym podmiotom. Piąta głośna ofiara tego roku: Trivy, Checkmarx, TanStack/OpenAI, Mistral, teraz GitHub.

Każda kampania dawała nowe poświadczenia. Każde poświadczenia otwierały następne drzwi. Oś czasu którą opisywał Endor Labs przy TanStack: "Each attack yielded credentials that unlocked the next target. This campaign is almost certainly not over."

Teraz mają kod źródłowy platformy której używa 90% Fortune 100. I opublikowali narzędzie które im to umożliwiło — za darmo, pod licencją MIT — na tej samej platformie.

X account powiązany z TeamPCP, xploitrsturtle2, napisał po ogłoszeniu GitHub: "GitHub knew for hours, they delayed telling you and they won't be honest in the future. What an amazing run, it's been an honor to play around with the cats over the past few months."

Co zrobić

Dla organizacji używających GitHub: brak dowodów że dane klientów poza wewnętrznymi repozytoriami GitHub zostały dotknięte — to jest aktualne stanowisko GitHub i będzie aktualizowane gdy dochodzenie postąpi.

Dla deweloperów: audyt zainstalowanych rozszerzeń VS Code. Usunięcie każdego rozszerzenia nieznanego, niesprawdzonego, zainstalowanego dawno i niezaktualizowanego. Szczególna uwaga na rozszerzenia zainstalowane między 18 a 20 maja.

Binance founder CZ napisał publicznie: "API keys in private repositories should be immediately reviewed and replaced." To jest właściwy instynkt — wewnętrzne repozytoria regularnie zawierają hardkodowane klucze i sekrety nawet jeśli nie powinny. Jeśli klucze w twoich prywatnych repozytoriach mogły być w zakresie CompromisedCSV, rotacja jest tańsza niż dochodzenie.

Podsumowanie

TeamPCP przez pięć miesięcy 2026 roku zbudowało operację która zaczęła się od Trivy w marcu, przeszła przez Checkmarx, LiteLLM, Bitwarden CLI, TanStack, Mistral, OpenAI, Grafana — i skończyła na GitHub samym.

Każdy etap był logicznym następnikiem poprzedniego. Każde skradzione poświadczenia otwierały kolejne drzwi. Nx Console na jednym laptopie pracownika GitHub była ostatnim krokiem w łańcuchu który zaczął się siedem miesięcy temu od wygasłej domeny email i złośliwego skryptu dla Roblox.

Kod Shai-Huluda jest teraz na GitHubie, pod licencją MIT, dostępny dla każdego. Narzędzie które TeamPCP przez pół roku budowało jako przewagę konkurencyjną jest teraz darmowe. Następna grupa która chce powtórzyć tę kampanię — ma instrukcję obsługi.

Źródła

BleepingComputer — pierwotne doniesienie z forum Breached i oś czasu GitHub response: https://www.bleepingcomputer.com/news/security/github-investigates-internal-repositories-breach-claimed-by-teampcp/

Help Net Security — szczegóły VS Code extension jako wektora i kontekst TeamPCP UNC6780: https://www.helpnetsecurity.com/2026/05/20/github-breached-teampcp/

The Hacker News — durabletask, Lapsus$ partnership i MIT license dla Shai-Hulud: https://thehackernews.com/2026/05/github-investigating-teampcp-claimed.html

SecurityWeek — potwierdzenie 3 800 repozytoriów i lista skradzionych projektów: https://www.securityweek.com/github-confirms-hack-impacting-3800-internal-repositories/

SOCRadar — analiza ryzyka downstream z wewnętrznego kodu GitHub: https://socradar.io/blog/teampcp-github-breach-internal-github-repository/

Hackread — komentarz Aikido Security o blind spocie VS Code extensions: https://hackread.com/github-breach-teampcp-repositories-vs-code-extension/