Violation du code source de GitHub - TeamPCP affirme avoir accédé au code source interne
(cybersecuritynews.com)- TeamPCP affirme avoir extrait des données organisationnelles propriétaires et du code source des systèmes internes de GitHub, et les vend sur un forum clandestin
- L’annonce de vente demande des offres de plus de 50 000 dollars et affirme inclure environ 4 000 dépôts privés liés à la plateforme principale de GitHub
- TeamPCP a publié des captures d’écran montrant des listes de fichiers et les noms d’archives de dépôts, et dit fournir des échantillons aux acheteurs sérieux
- GitHub a confirmé enquêter sur un accès non autorisé à des dépôts internes, mais indique n’avoir aucune preuve d’impact sur les clients enterprise, les organisations ou les dépôts
- TeamPCP est présenté comme un groupe à motivation financière suivi sous le nom UNC6780, avec des antécédents d’abus d’identifiants CI/CD et de jetons d’accès
Allégations de compromission et réponse de GitHub
- Un acteur malveillant connu sous l’alias TeamPCP affirme avoir compromis les systèmes internes de GitHub et exfiltré des données organisationnelles propriétaires ainsi que du code source
- L’attaquant met en vente l’ensemble de données volées sur un forum cybercriminel clandestin, en demandant des offres de plus de 50 000 dollars
- Selon l’annonce de vente, les données compromises incluent environ 4 000 dépôts privés directement liés à la plateforme principale de GitHub
- TeamPCP présente comme preuve des captures d’écran montrant une liste publique de fichiers et les noms d’archives de plusieurs dépôts
- Le groupe affirme fournir des échantillons de données aux acheteurs sérieux pour vérifier l’authenticité
- Après la diffusion de ces affirmations, GitHub a confirmé via X qu’il enquêtait sur un accès non autorisé à des dépôts internes
- L’entreprise indique qu’à ce stade, elle n’a aucune preuve que les environnements enterprise, les organisations ou les dépôts des clients aient été affectés
- GitHub surveille de près son infrastructure pour détecter toute activité ultérieure, et ne confirme ni ne dément la méthode d’accès ni l’affirmation concernant les 4 000 dépôts
- L’enquête est toujours en cours, et GitHub a ensuite publié une mise à jour après son investigation
Contexte des activités de TeamPCP
- TeamPCP est présenté comme un groupe malveillant à motivation financière suivi par le Google Threat Intelligence Group sous le nom UNC6780
- Le groupe est connu pour avoir mené des attaques de la chaîne d’approvisionnement dans plusieurs écosystèmes
- Le scanner de vulnérabilités Trivy aurait été exploité via CVE-2026-33634, entraînant la compromission de plus de 1 000 organisations, dont Cisco
- Checkmarx et LiteLLM ont été visés par des campagnes rapides cherchant à dérober des identifiants dans les pipelines CI/CD
- En lien avec le malware Shai-Hulud, TeamPCP est présenté comme ayant utilisé des comptes compromis pour divulguer directement sur GitHub le code source de son propre malware Shai-Hulud
- TeamPCP est également présenté comme ayant un mode opératoire consistant à abuser d’identifiants CI/CD volés et de jetons d’accès privilégiés afin de progresser plus profondément dans les infrastructures visées
1 commentaires
Avis sur Lobste.rs
Il vaut la peine de rappeler que GitHub était de fait depuis longtemps dans un état où le code source pouvait être consulté
C’est assez aimable pour qu’on puisse même récupérer les charts Helm pour le .com, alors même que GHES repose sur Nomad
C’est notamment l’un des éléments qui a permis à Wiz de découvrir CVE-2026-3854
Cette équipe a été impliquée récemment dans plusieurs piratages (Shai-Hulud, Trivy, LiteLLM, GitHub), et si ce type de couverture d’incidents a sa place ici, cela peut être intéressant
On retrouve souvent chez les hackers une idée du genre : « Il y a ici beaucoup de personnes en rétablissement d’addictions, ainsi que d’anciens vendeurs/dealers, et la cybercriminalité fonctionne comme une forme étrange de thérapie. Elle les éloigne de l’alcool ou des drogues, leur fait oublier un moment de mauvaises situations, et leur donne un but en leur permettant de faire avec efficacité quelque chose qu’ils n’auraient pas le droit de faire légalement »
On trouve une formulation semblable dans HackBack de Phineas Fisher : « Le hacking me faisait sentir vivant, et au début c’était un moyen d’automédication contre la dépression. Plus tard, j’ai compris que je pouvais aussi en faire quelque chose de positif. » Les objectifs diffèrent de ceux de TeamPCP, mais le point commun reste intéressant
Xeet est mentionné dans cette soumission : https://lobste.rs/s/ges2gt/github_source_code_breach_teampcp_claims
Je me demande pourquoi c’était un thread Twitter plutôt qu’un billet de blog
nitter.net semble instable. Voici une autre instance Nitter qui affiche le même thread
Informations supplémentaires sur Twitter : https://nitter.net/xploitrsturtle2/status/2056927898771067006
Quelqu’un a sans doute terminé sa journée en étant fier d’avoir fait passer cela à travers plusieurs couches de management et une revue juridique, et en soi cela a peut-être constitué une réalisation notable dans une structure organisationnelle complexe. Mais c’est précisément pour cette raison que les grandes entreprises ont du mal à vraiment bien servir leurs clients