GitHub onderzoekt een mogelijke inbraak in zijn interne repositories nadat de hacker groep TeamPCP claimde toegang te hebben gekregen tot ongeveer 4.000 repositories met privécode. GitHub is een cloudgebaseerd ontwikkelplatform dat door meer dan 4 miljoen organisaties en ruim 180 miljoen ontwikkelaars wordt gebruikt, met meer dan 420 miljoen code repositories in totaal.

Het bedrijf heeft nog geen aanvullende details vrijgegeven over het onderzoek, maar meldt dat er momenteel geen aanwijzingen zijn dat klantgegevens buiten de interne repositories zijn getroffen. GitHub verklaarde tegenover BleepingComputer dat het ongeautoriseerde toegang tot de interne repositories onderzoekt en de infrastructuur nauwlettend monitort op mogelijke vervolgactiviteiten. Mocht er bewijs van impact op klanten worden gevonden, dan worden de betrokkenen via de gebruikelijke meldings- en incidentresponskanalen geïnformeerd.

TeamPCP plaatste dinsdag een bericht op het Breached hacking forum waarin zij toegang claimden tot "GitHub's source code and internal orgs" en vroegen om minimaal 50.000 dollar. Ze benadrukten dat het niet om afpersing gaat, maar dat ze bereid zijn de data te vernietigen zodra er een koper is. Anders dreigen ze de code gratis te lekken. Volgens hen gaat het om circa 4.000 repositories met privécode, en ze boden aan om samples te verstrekken ter verificatie van de authenticiteit.

De hacker groep TeamPCP is eerder in verband gebracht met supply chain-aanvallen op verschillende ontwikkelplatforms, waaronder GitHub, PyPI, NPM en Docker. In maart wisten zij ook de Trivy kwetsbaarheidsscanner van Aqua Security te compromitteren, wat leidde tot kettingreacties die onder andere de Aqua Security Docker images en het Checkmarx KICS project troffen. De Trivy-inbraak infecteerde bovendien tienduizenden apparaten met de "TeamPCP Cloud Stealer" malware via de LiteLLM open-source Python bibliotheek.

Meer recent werd TeamPCP ook gelinkt aan de "Mini Shai-Hulud" supply chain-campagne, die onder andere apparaten van twee OpenAI-medewerkers trof, en dreigden zij de Mistral AI broncode te lekken die zij hadden bemachtigd met gecompromitteerde CI/CD-credentials.