GitHub אישרה ב- 20 במאי דלף מידע, לאחר שפושעי סייבר השיגו גישה לכ- 3,800 ממאגרי הקוד הפנימיים של הפלטפורמה. נקודת החדירה של פושעי הסייבר הייתה תחנת עבודה שנפרצה באמצעות הרחבה זדונית של Visual Studio Code. קבוצת הסייבר TeamPCP לקחה אחריות וכעת מציעה למכירה את המידע שגנבה בפורום פשעי סייבר.
GitHub זיההו את הפריצה ב- 19 במאי. חקירה אישרה שפושעי סייבר פגעו במכשיר ארגוני, כאשר סיומת VS Code מורעלת שישמה כנקודת החדירה. התוסף הספציפי שזוהה היה Nx Console גרסה 18.95.0 – מבנה בדלת אחורית שפורסם ב- VS Code Marketplace ב- 18 במאי 2026. GitHub הגיבו על ידי בידוד תחנת העבודה שנפרצה, הסרת התוסף הזדוני ודרישת שינוי פרטי גישה. החברה אישרה כי הטענה של פושעי הסייבר לגבי דלף מידע של כ- 3,800 מאגרים, הייתה עקבית עם הממצאים שלה.
מאגרים פנימיים מסוג זה יכולים להכיל תצורות תשתית, סקריפטים של פריסה וסכימות API פנימיות. גישה ברמה זו חורגת מפריצת מידע סטנדרטית – היא מייצגת דליפת מודיעין תשתית. GitHub קבעו כי לא ניזוקו נתוני לקוחות המאוחסנים מחוץ למאגרים הפנימיים שלה. החברה ציינה כי היא תודיע לכל לקוח אם תהיינה עדויות להשפעה רחבה יותר.
הפריצה ל- GitHub ודלף המידע לא התרחשו בחלל ריק: קבוצת הסייבר TeamPCP מפעילה מתקפות סייבר נגד תשתית קוד פתוח מאז מרץ 2026. נזכיר כי TeamPCP לקחה בעבר קרדיט על פריצה לנציבות האירופית שגרמה לגניבה של יותר מ- 90 גיגה-בייט של מידע מאחסון הענן של הזרוע המבצעת של האיחוד האירופי.
TeamPCP פרסמה את הנתונים הגנובים בפורום פשעי סייבר פריצה וביקשה מינימום של 50,000 דולר עבורם. הקבוצה הצהירה שהיא תשחרר הכל בחינם אם אף קונה לא יתייצב וקבעה את ההצעה כמכירה ולא ככופר.
מתקפת סייבר זו עוקבת אחר דפוס ברור וחוזר על עצמו: פושעי הסייבר כבר לא מתמקדים רק בפגיעויות היקפיות או בשרתים פגיעים, הם מכוונים לכלים שבהם משתמשים מפתחים מדי יום ולאמון שהכלים הללו נושאים. תוסף VS Code פועל עם אותן הרשאות כמו העורך עצמו, מה שאומר שחבילה מורעלת אחת יכולה לתת לתוקף את אותה גישה כמו למפתח שמפעיל אותה.
GitHub משרתת למעלה מ- 180 מיליון מפתחים והפלטפורמה שלה נמצאת בשימוש של למעלה מ- 90% מחברות Fortune 100. מתקפת סייבר ופריצה למאגרים הפנימיים של GitHub טומנת בחובה סיכון הרבה מעבר לאירוע המיידי, במיוחד אם הנתונים הגנובים מכילים פרטים על האופן שבו הפלטפורמה עצמה בנויה או מאובטחת.
מומלץ לארגונים המסתמכים על GitHub עבור צינורות הפיתוח שלהם, לפקח על תקשורת רשמית מהחברה ולטפל בכל פעילות חריגה במערכות מחוברות או באינטגרציות מבוססות אסימון תוך בקרה מוגברת. הלקח הרחב יותר הוא מבני: כאשר תוסף זדוני יחיד המותקן במכשיר אחד יכול לחשוף אלפי מאגרים פנימיים באחת מפלטפורמות התוכנה המודעת ביותר בעולם לאבטחת מידע, כל ארגון צריך לשאול שאלות קשות לגבי מידת האמון שהוא נותן כברירת מחדל לכלי מפתחים.
