GitHub の CISO は 5 月 21 日 (米国時間)、社内向け 3,800 リポジトリが攻撃グループ TeamPCP に流出したことを公式に認めました。侵入起点は初報が 5 月 18 日の Nx Console VS Code 拡張サプライチェーン攻撃で、社員端末の侵害版拡張を経由して GitHub の認証情報が窃取された経路です。顧客の GitHub Enterprise / Organization / Repository に保管されたデータへの影響はないとしています。
主なポイント
- 影響範囲: GitHub 内部リポジトリ 3,800 件。顧客の Enterprise / Organization 配下のリポジトリやコードは流出に含まれず
- 起点: 5 月 18 日に Marketplace に 18 分間公開された Nx Console (nrwl.angular-console) v18.95.0 の侵害版。同攻撃には先行する TanStack npm パッケージ侵害が連鎖
- 攻撃グループ: TeamPCP。盗み出した内部コードをアンダーグラウンドで売却中と報じられている
- 同じ攻撃で OpenAI と Grafana Labs にも侵入。Grafana 分は CoinbaseCartel という名称で 5 月 18 日に報告済み
- GitHub 側の対応: 侵害された認証情報の無効化、影響範囲の調査、社内アクセス監査の強化を実施。Visual Studio Marketplace 側でも公開審査プロセス見直しが進む見通し
出典: GitHub confirms breach of 3,800 repos via malicious VSCode extension (BleepingComputer)