Filtración del código fuente de GitHub: TeamPCP afirma haber accedido al código fuente interno

 (cybersecuritynews.com)
1 puntos por GN⁺ 1 시간 전 | 1 comentarios | Compartir por WhatsApp
  • TeamPCP afirma haber extraído datos organizacionales propietarios y código fuente de los sistemas internos de GitHub, y los está vendiendo en un foro clandestino
  • La publicación de venta solicita ofertas de más de 50 mil dólares y afirma incluir cerca de 4,000 repositorios privados conectados con la plataforma principal de GitHub
  • TeamPCP publicó capturas de pantalla donde se ven listas de archivos y nombres de archivos comprimidos de repositorios, y dijo que proporcionará muestras a compradores serios
  • GitHub confirmó que está investigando un acceso no autorizado a repositorios internos, pero dijo que no hay evidencia de impacto en clientes empresariales, organizaciones o repositorios
  • Se describe a TeamPCP como un grupo con motivación financiera rastreado como UNC6780, con historial de abuso de credenciales de CI/CD y tokens de acceso

Afirmaciones de la filtración y respuesta de GitHub

  • Un actor de amenazas conocido con el alias TeamPCP afirma haber comprometido los sistemas internos de GitHub y filtrado datos organizacionales propietarios y código fuente
  • El atacante está vendiendo el conjunto de datos robados en un foro clandestino de ciberdelito y solicita ofertas de más de 50 mil dólares
  • Según la publicación de venta, los datos comprometidos incluyen alrededor de 4,000 repositorios privados conectados directamente con la plataforma principal de GitHub
  • TeamPCP presentó como evidencia capturas de pantalla con listas públicas de archivos y nombres de varios archivos comprimidos de repositorios
  • También dijo que proporcionará muestras de datos a compradores serios para verificar su autenticidad
  • Tras la difusión de estas afirmaciones, GitHub confirmó en X que está investigando un acceso no autorizado a repositorios internos
  • Afirmó que hasta el momento no hay evidencia de que se hayan visto afectados los entornos empresariales, organizaciones o repositorios de clientes
  • GitHub también está monitoreando cuidadosamente su infraestructura para detectar actividad posterior, y no confirmó ni negó el método de acceso ni la afirmación sobre los 4,000 repositorios
  • La investigación sigue en curso y posteriormente GitHub publicó una actualización

Contexto de la actividad de TeamPCP

  • TeamPCP es descrito como un grupo de amenazas con motivación financiera, rastreado por Google Threat Intelligence Group como UNC6780
  • Se sabe que este grupo tiene historial de ataques a la cadena de suministro en múltiples ecosistemas
  • Se indica que Trivy Vulnerability Scanner fue explotado mediante CVE-2026-33634, lo que habría llevado al compromiso de más de 1,000 organizaciones, incluida Cisco
  • Checkmarx y LiteLLM fueron objetivo de campañas de alta velocidad orientadas al robo de credenciales dentro de pipelines de CI/CD
  • En relación con Shai-Hulud Malware, se describe que TeamPCP usó cuentas comprometidas para filtrar directamente en GitHub el código fuente de su propio malware Shai-Hulud
  • También se presenta a TeamPCP como un grupo con un patrón operativo de abusar de credenciales de CI/CD robadas y tokens de acceso privilegiado para avanzar más profundamente dentro de la infraestructura objetivo

Lecturas relacionadas

1 comentarios

 
GN⁺ 1 시간 전
Opiniones en Lobste.rs

  • Vale la pena recordar que GitHub, desde hace mucho, en la práctica estaba en un estado de código fuente visible

    1. Descarga el QCOW2 desde https://enterprise.github.com/releases y móntalo en la VM de Linux que quieras
    2. Luego solo hay que desofuscarlo con https://gist.github.com/iscgar/e8ea7560c9582e4615fcc439177e22b7. En las versiones de GHES de los últimos 10 años, basta con quitar L33
      Son bastante amables: aunque GHES está basado en Nomad, hasta puedes obtener el chart de Helm para .com
      Esta es una de las razones por las que Wiz pudo descubrir CVE-2026-3854

  • Este equipo ha estado involucrado recientemente en varios hackeos (Shai-Hulud, Trivy, LiteLLM, GitHub), y si la cobertura de incidentes de este tipo encaja con los temas de aquí, puede resultar interesante
    Entre hackers se repite una sensibilidad del tipo: “aquí hay muchos adictos en recuperación y exvendedores/dealers, y el cibercrimen funciona como una clase extraña de terapia. Los aleja del alcohol o las drogas, les permite olvidar por un rato una mala situación y les da un propósito para hacer bien algo que legalmente no se les permitiría hacer”
    En HackBack de Phineas Fisher también aparece una idea parecida: “hackear me hacía sentir vivo, y al principio era una forma de autotratamiento para la depresión. Después me di cuenta de que podía usarlo para hacer algo positivo”. TeamPCP y sus objetivos son distintos, pero es un punto en común interesante

    • Me pega esa parte de que no pueden hacerlo legalmente. No es por defender lo que hacen, pero ahí se ve otra ineficiencia más del sistema social humano

  • En este envío se menciona Xeet: https://lobste.rs/s/ges2gt/github_source_code_breach_teampcp_claims

  • Me pregunto por qué esto fue un hilo de Twitter y no una entrada de blog

  • nitter.net parece inestable. Hay otra instancia de nitter que muestra el mismo hilo

  • Información adicional en Twitter: https://nitter.net/xploitrsturtle2/status/2056927898771067006

    • Es lamentable, pero probablemente Microsoft lo divulgó tan rápido como la burocracia se lo permitió
      Seguramente alguien salió del trabajo sintiéndose orgulloso de la velocidad con la que logró hacerlo pasar por varias capas de gestión y revisión legal, y eso por sí mismo quizá haya sido un logro considerable dentro de una estructura organizativa compleja. Pero precisamente por esto a las grandes empresas les cuesta servir realmente bien a sus clientes