Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiexhyjnuxwooyfrzmgcbi72l5dq7nau4o4f2flwc3ywkvfye4kgay",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mmck5unjmbd2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreihmkmapcsqho4otsumqntzt3t2u26kvarsza4o6buae5guot5cyxu"
    },
    "mimeType": "image/jpeg",
    "size": 105949
  },
  "path": "/seguranca/413279-github-confirma-invasao-e-tem-3800-repositorios-internos-comprometidos.htm",
  "publishedAt": "2026-05-20T17:45:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança",
    "equipe de segurança do GitHub",
    "desenvolvido pela Microsoft",
    "publicou o código-fonte do Shai-Hulud",
    "nossa newsletter",
    "canal do YouTube."
  ],
  "textContent": "O GitHub confirmou que sofreu uma invasão na segunda-feira, 19 de maio. Um invasor conseguiu acesso não autorizado a aproximadamente 3.800 repositórios internos da plataforma através de uma extensão maliciosa do Visual Studio Code, editor de código da Microsoft, instalada no dispositivo de um funcionário.\n\nO vazamento foi detectado pela equipe de segurança do GitHub no mesmo dia da invasão, reinvidicada pelo grupo hacker TeamPCP. Eles afirmam ter obtido código-fonte interno e cerca de 4 mil repositórios privados da plataforma.\n\nDesde o incidente, o grupo está tentando vender os dados no fórum Breached. Eles exigem um lance mínimo de US$ 50 mil e dizem que venderão para apenas um comprador.\n\nInvasão do GitHub comprometeu repositórios através de extensão envenenada do VS Code.\n\n## O que é uma extensão envenenada\n\nO ataque aconteceu por meio de uma extensão maliciosa do VS Code. Basicamente, extensões são complementos que adicionam funcionalidades ao editor de código – neste caso, a extensão continha código malicioso oculto. Quando o funcionário instalou a ferramenta, o invasor conseguiu acesso ao sistema interno.\n\nO VS Code é um editor de código gratuito desenvolvido pela Microsoft. Ele é amplamente usado por desenvolvedores, muitas vezes em conjunto com o GitHub Copilot.\n\n## Resposta do GitHub após a invasão\n\nO GitHub afirma ter contido a brecha de segurança. A empresa removeu a versão maliciosa da extensão e isolou o dispositivo comprometido imediatamente. Além disso, credenciais críticas foram trocadas nas primeiras 24 horas após a detecção, priorizando as de maior impacto.\n\nGitHub rotacionou credenciais críticas após detectar acesso não autorizado a repositórios internos.\n\nA plataforma continua analisando registros de sistema e monitorando possíveis atividades subsequentes. O GitHub prometeu publicar um relatório mais detalhado quando a investigação for concluída.\n\n## Quem é o grupo TeamPCP\n\nO TeamPCP ganhou notoriedade recentemente por ataques em larga escala contra a cadeia de suprimentos de software. O grupo tem histórico de comprometer projetos open-source amplamente utilizados. Recentemente, o grupo também publicou o código-fonte do Shai-Hulud, um malware do tipo worm voltado para o ecossistema de desenvolvimento de software.\n\nEntre os alvos anteriores estão o scanner de vulnerabilidades Trivy da Aqua Security e o analisador KICS da Checkmarx. Eles também comprometeram pacotes legítimos no Python Package Index, incluindo a biblioteca LiteLLM AI Gateway.\n\nVS Code foi vetor do ataque que comprometeu 3.800 repositórios do GitHub.\n\nO grupo usa técnicas como typosquatting e backdoors para roubar credenciais de nuvem, chaves SSH e configurações de Kubernetes. Isso porque o objetivo é coletar informações sensíveis de desenvolvimento de software de múltiplas organizações. O TeamPCP tem parcerias com grupos de extorsão e ransomware, como Lapsus$ e Vect ransomware.\n\n## O impacto potencial do vazamento\n\nO GitHub é usado por praticamente toda a indústria de tecnologia. Startups, grandes empresas, projetos de infraestrutura crítica e sistemas corporativos dependem da plataforma. Repositórios privados geralmente contêm código-fonte proprietário, credenciais de acesso e arquitetura interna de sistemas. Assim, um vazamento desse tipo de informação pode expor vulnerabilidades e segredos corporativos.\n\nO TeamPCP ameaçou liberar os dados gratuitamente caso não encontre um comprador. O grupo afirmou que essa pode ser sua última operação antes de se aposentar.\n\nAcompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "GitHub confirma invasão e tem 3.800 repositórios internos comprometidos"
}