Cyber napad zahvatio 500 zaraženih paketa i stotine kompanija, ukradeni podaci ponuđeni za 50.000 dolara na crnom tržištu
Tehnološka kompanija GitHub potvrdila je 20. maja 2026. godine da je pretrpela ozbiljan bezbednosni incident u kojem je izvučeno oko 3.800 internih repozitorijuma sa izvornim kodom, nakon što je 18. maja zaposleni instalirao ažuriranje popularnog VS Code ekstenzije. Incident je omogućio hakerskoj grupi TeamPCP pristup ključnim resursima kompanije koja upravlja sa više od 420 miliona repozitorijuma i ima preko 180 miliona korisnika širom sveta.
GitHub-ov direktor za bezbednost, Alexis Wales, identifikovala je kompromitovanu ekstenziju kao Nx Console v18.95.0, alat za upravljanje Angular i React projektima sa 2,2 miliona instalacija. Zaražena verzija bila je dostupna svega 18 minuta na Microsoft Visual Studio Marketplace pre nego što je uklonjena, ali je to vreme bilo dovoljno da napadači dobiju pristup. Kompanija je odmah izolovala ugroženi deo sistema, rotirala ključne pristupne podatke i navela da za sada nema dokaza da je kod korisnika ugrožen. Istraga je i dalje u toku.
TeamPCP je ukradene repozitorijume oglasio za prodaju na BreachForums forumu uz minimalnu cenu od 50.000 dolara (oko 5,8 miliona dinara), sa upozorenjem da će kod biti javno objavljen ukoliko se ne pronađe kupac. Prema zvaničnoj izjavi GitHub-a, incident je za sada ograničen na interne repozitorijume.
Napad je započeo 19. marta 2026. godine kompromitovanjem Aqua Security Trivy skenera ranjivosti, pri čemu su napadači iskoristili propust u GitHub Actions workflow-u i ubacili maliciozni kod za krađu pristupnih podataka iz memorije CI/CD servera. Prikupljeni pristupi su potom omogućili upad u infrastrukturu drugih kompanija, uključujući Checkmarx KICS, LiteLLM Python biblioteku (sa oko tri miliona preuzimanja dnevno), Telnyx SDK, Bitwarden CLI alat, kao i 42 paketa iz TanStack npm repozitorijuma. Tako je u samo šest minuta 11. maja kompromitovano više desetina paketa, što je omogućilo dalji ciklus napada.
Napad je karakterisan automatizovanim crvom koji se samostalno širi, a kompromitovani paketi kontinuirano generišu nove pristupne podatke i omogućavaju dalji upad u razvojne alate i sisteme. Prema dokumentaciji Phoenix Security, u četvrtom talasu napada kompromitovani su i GitHub-ovi interni repozitorijumi i Microsoft-ov durabletask Python SDK na PyPI platformi, oba istog dana.
GitHub je naveo da su svi kritični pristupi rotirani i da do sada nema dokaza o ugroženosti korisničkog koda. Kompanija nastavlja da sprovodi detaljnu istragu i sarađuje sa relevantnim partnerima, dok stručnjaci za bezbednost ističu da je ovaj incident pokazao ranjivost lanca softverskog snabdevanja i potrebu za rigoroznijom kontrolom pristupnih tokena i verzija paketa.
