Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
GitHub nel mirino di TeamPCP: estensione VS Code compromessa e 4000 repository interni a rischio
GitHub ha avviato una indagine su un possibile accesso non autorizzato ai propri repository interni dopo che un attore di minaccia noto come TeamPCP ha pubblicato su un forum criminale un annuncio di vendita che riguarda presunto codice sorgente e organizzazioni interne. Secondo le informazioni diffuse, la quantita di dati coinvolta sarebbe nell ordine di circa 3800 4000 repository, un numero che risulta coerente con le verifiche in corso.
L aspetto piu rilevante per aziende e sviluppatori e che al momento non emergono evidenze di impatto sui dati dei clienti archiviati al di fuori dei repository interni, come enterprise, organizzazioni e repository degli utenti. GitHub ha dichiarato di monitorare attentamente la propria infrastruttura per individuare eventuali attivita successive e di utilizzare i canali standard di incident response e notifica nel caso vengano riscontrati effetti sui clienti.
Nel frattempo e stato comunicato che l attacco sarebbe stato rilevato e contenuto a partire dalla compromissione di un dispositivo di un dipendente. Il vettore indicato e una estensione avvelenata di Microsoft Visual Studio Code, un dettaglio che riporta l attenzione sui rischi della supply chain del software e sull importanza di controlli rigorosi su plugin ed estensioni usati negli ambienti di sviluppo. Come misura di mitigazione GitHub ha ruotato segreti critici e credenziali considerate ad alto impatto, un passaggio fondamentale per ridurre il rischio di movimenti laterali e ulteriori esfiltrazioni.
La vicenda si inserisce in un contesto piu ampio: TeamPCP e associato a campagne di attacco alla supply chain open source e a malware in grado di sottrarre credenziali e token utili a propagarsi in pipeline e ambienti cloud. In scenari simili il rischio non e solo la perdita di codice, ma anche l esposizione di segreti di build, chiavi API, token di pubblicazione e configurazioni che possono abilitare compromissioni a cascata.
Per ridurre l esposizione e consigliabile applicare principi di least privilege, proteggere i token con scadenze brevi, abilitare controlli di firma e provenienza dei pacchetti, e rafforzare il monitoraggio su accessi anomali ai repository e sulle rotazioni dei secret.