20 травня GitHub офіційно підтвердив, що заражена версія розширення VS Code, встановлена на пристрої співробітника, надала зловмисникам доступ приблизно до 3 800 внутрішніх репозиторіїв платформи зберігання та розробки коду, що належить Microsoft.
Кіберзлочинне угруповання TeamPCP, яке Google Threat Intelligence Group відстежує під назвою UNC6780, взяло на себе відповідальність і виставило викрадені репозиторії на продаж, починаючи від $50 000. За оцінками GitHub, заяви зловмисників “у цілому узгоджуються” з результатами розслідування. Компанії Trend Micro, StepSecurity та Snyk відстежують діяльність TeamPCP щонайменше через сім хвиль атаки типу “ланцюжок поставок” під назвою Mini Shai-Hulud, починаючи з березня.
Інцидент з GitHub стався не ізольовано. Він стався того ж дня, коли нова хвиля Mini Shai-Hulud сформувала дійсну криптографічну доведеність для 639 шкідливих версій пакетів npm. Напередодні зловмисники скомпрометували розширення VS Code з 2,2 мільйонами встановлень, а також того ж дня Wiz виявив, що TeamPCP скомпрометував Python SDK від Microsoft для Durable Task на PyPI. Це сталося за кілька годин до того, як звіт Verizon 2026 DBIR повідомив, що 67% співробітників отримують доступ до інструментів ШІ через некорпоративні облікові записи. За 48 годин було скомпрометовано п’ять поверхень ланцюжка поставок. Ще два класи атак за допомогою агентів ШІ були розкриті того ж місяця. Одна група кіберзлочинців пов’язала щонайменше три з цих векторів.
GitHub підтверджує витік даних, називає вектор атаки, а шлях відстеження зловмисників довгий
“Вчора ми виявили та локалізували компрометацію пристрою співробітника через заражене розширення VS Code. Ми видалили шкідливу версію розширення, ізолювали кінцеву точку та негайно розпочали реагування на інцидент”, – повідомив GitHub у Twitter 20 травня. “Наразі ми оцінюємо, що діяльність включала викрадення лише внутрішніх репозиторіїв GitHub. [Наголос додано VentureBeat]. Поточні заяви зловмисника про приблизно 3 800 репозиторіїв загалом узгоджуються з результатами нашого розслідування”. GitHub додав, що критичні секрети були негайно обернені, пріоритет надавався обліковим даним з найвищим впливом.
Підтвердження GitHub звужує вектор атаки до одного пристрою співробітника, але розширює потенційні наслідки. Компанія не назвала конкретне розширення. Внутрішні репозиторії містять конфігурації інфраструктури, скрипти розгортання, облікові дані для тестових середовищ та схеми внутрішніх API. Доступ до вихідного коду такого рівня – це не просто витік даних, це витік інформації про інфраструктуру.
Dark Web Informer повідомив, що оголошення TeamPCP з’явилося на хакерському форумі за кілька годин до першого повідомлення GitHub, рекламуючи близько 4000 приватних репозиторіїв. Hackmanac незалежно підтвердив це оголошення. Обліковий запис X, пов’язаний з TeamPCP (xploitrsturtle2), написав після підтвердження від GitHub: “GitHub знав годинами, вони зволікали з повідомленням, і вони не будуть чесними в майбутньому. Який дивовижний час, було честю гратися з цими котами протягом останніх кількох місяців”.
Google Threat Intelligence Group офіційно відстежує TeamPCP як UNC6780 – групу, орієнтовану на фінансову вигоду, що спеціалізується на атаках на ланцюжок поставок, націлених на інструменти безпеки з відкритим вихідним кодом та проміжне програмне забезпечення для ШІ. Trend Micro відстежив “щонайменше сім підтверджених хвиль” у таких продуктах, як Trivy (березень 2026), Checkmarx KICS, LiteLLM, elementary-data, Bitwarden CLI, TanStack (11 травня) та Mistral AI (12 травня). StepSecurity, Snyk та Trend Micro оцінюють високу впевненість щодо хвиль Trivy, Bitwarden CLI та TanStack на основі перетину інструментів. Підтвердження GitHub від 20 травня про те, що витік стався через заражене розширення VS Code, відповідає точному вектору атаки, який TeamPCP використовувала протягом 2026 року.
Співзасновник Binance CZ негайно написав: “Якщо у вас є БУДЬ-які приватні репозиторії з секретами у відкритому вигляді або чутливими документами/архітектурами, негайно оберніть свої секрети”. Майк Рімер, технічний директор Ivanti, заявив VentureBeat в ексклюзивному інтерв’ю, що мережа honeypot Azure зараз показує, що відомі уразливості експлуатуються менш ніж за 90 секунд. Викрадені облікові дані скорочують фазу розвідки, що передує експлуатації. Кожен секрет з боку GitHub, який потрапить до покупця, прискорить будь-який шлях атаки, який цей покупець вже використовував.
Черв’як, що створює власний значок довіреності
За кілька годин до оголошення GitHub, Endor Labs виявила 42 шкідливі пакети npm, опубліковані між 01:39 і 02:06 UTC 19 травня. Socket відстежив ширшу хвилю: 639 шкідливих версій у 323 пакетах в екосистемі візуалізації даних @antv від Alibaba, що становить приблизно 16 мільйонів завантажень на тиждень.
Ця хвиля запровадила підробку довіреності (provenance forgery). Черв’як тепер викликає Fulcio та Rekor під час виконання для генерації дійсних сертифікатів підпису Sigstore для кожного пакета, який він розповсюджує. Інструменти перевірки довіреності показують зелений значок. Ланцюжок збірки належить зловмиснику. “Атестація доводить, де було зібрано пакет. Вона не доводить, що збірка була авторизована”, – заявила Endor Labs.
Пейтон Кеннеді, старший дослідник безпеки в Endor Labs, розповів VentureBeat, що “TanStack мав правильну конфігурацію на папері: довірені публікації OIDC, підписана довіреність, 2FA для кожного облікового запису учасника. Атака все одно спрацювала. Кожна хвиля обирала ціль з вищим показником завантажень і вводила більш технічно цікавий вектор доступу”.
Пізно ввечері 12 травня vx-underground повідомив, що TeamPCP оприлюднив повністю розроблений код черв’яка Shai-Hulud. Варіанти-клони вже з’явилися, що ускладнює атрибуцію. Кеннеді надав VentureBeat швидку перевірку виявлення: запустіть `find . -name ‘router_init.js’ -size +1M` в директоріях проекту та `grep` за хешем `79ac49eedf774dd4b0cfa308722bc463cfe5885c` в `package-lock.json`. Якщо будь-який з них повертає збіг, ізолюйте та зробіть образ машини перед відкликанням будь-яких токенів. Демон знищення черв’яка спрацьовує при відкликанні.
Теги GitHub Actions перенаправлені на підроблені коміти того ж дня
Також 19 травня зловмисники скомпрометували популярний робочий процес GitHub Actions `actions-cool/issues-helper`, перенаправивши кожен існуючий тег у репозиторії на підроблений коміт, який не з’являється у звичайній історії комітів дії. “Цей коміт містить шкідливий код, який викрадає облікові дані з CI/CD конвеєрів, що запускають цю дію”, – сказав дослідник StepSecurity Варун Шарма. GitHub з того часу вимкнув доступ до репозиторію.
Домен викрадення даних (t.m-kosche[.]com) збігається з хвилею Mini Shai-Hulud @antv, пов’язуючи ці два кластери. Не постраждали лише робочі процеси, закріплені за відомим повним SHA коміту.
Черв’як того ж дня перестрибнув на власний Python SDK Microsoft
Через кілька годин після хвилі @antv, Wiz виявив, що TeamPCP скомпрометував `durabletask` – офіційний клієнт Microsoft Python для фреймворку виконання робочих процесів Durable Task. Три шкідливі версії (1.4.1, 1.4.2 та 1.4.3) були опубліковані на PyPI протягом 35-хвилинного вікна 19 травня. Ланцюжок атаки був прямим: обліковий запис GitHub, скомпрометований під час попередньої операції TeamPCP, все ще мав доступ до репозиторію `microsoft/durabletask-python`. Зловмисник витягнув GitHub Secrets, отримав токен публікації PyPI і безпосередньо завантажив інфіковані релізи. PyPI помістив усі три версії до карантину.
Аналіз StepSecurity виявив, що корисне навантаження завантажує дроппер розміром 28 КБ (`rope.pyz`), який викрадає облікові дані з AWS, Azure, GCP, Kubernetes та понад 90 конфігурацій інструментів розробки, а потім поширюється по горизонталі через хмарну інфраструктуру. Корисне навантаження пропускає системи з російською локаллю. Пакет `durabletask` в середньому завантажується понад 400 000 разів на місяць.
Розширення VS Code скомпрометували сам GitHub, і це навіть не перший інцидент цього тижня
18 травня зловмисники опублікували скомпрометовану версію розширення Nx Console VS Code, встановленого понад 2,2 мільйона разів. Шкідлива версія збирала токени з GitHub, npm, AWS, HashiCorp Vault, Kubernetes та 1Password, і спеціально націлювалася на конфігураційні файли Claude Code в `~/.claude/settings.json`. Команда Nx видалила його протягом 11 хвилин. Будь-який розробник, який відкрив робочу область між 12:36 та 12:47 UTC, запустив збирач облікових даних. Через день GitHub підтвердив, що інше заражене розширення VS Code було точкою входу для викрадення 3 800 репозиторіїв з його власної внутрішньої інфраструктури.
Як зазначив один користувач Twitter: “GitHub від Microsoft був скомпрометований, коли розробник Microsoft, використовуючи Microsoft VSCode, встановив шахрайське розширення з бібліотеки розширень Microsoft VSCode, яка модерується та розміщується Microsoft”. Увесь ланцюжок атаки залишився в межах екосистеми одного постачальника. Розробники роками повідомляли Microsoft про шкідливі розширення VS Code. Публічна скарга від грудня 2024 року вимагала від Microsoft виправити маркетплейс. Вісімнадцять місяців потому маркетплейс став точкою входу для компрометації самого GitHub.
Кодифікатори ШІ сприймають діалоги довіри як функції, а не події безпеки
Дослідження Adversa AI TrustFall, опубліковане 7 травня, протестувало Claude Code, Gemini CLI, Cursor CLI та Copilot CLI. “Репозиторій може надіслати конфігурацію, яка автоматично схвалює та негайно запускає MCP-сервер, без необхідності виклику інструменту від агента”, – сказав дослідник Роні Утевський Dark Reading. Усі чотири за замовчуванням обирають “Так/Довіряти”. Конфігурація `Managed scope`, яка могла б це заблокувати, “використовується рідко”. Коли Claude Code працює в безголовому режимі через GitHub Actions, діалог довіри ніколи не відображається.
Коментарі PR стали інструкціями для агентів
Ао Нан Гуань разом із колегами з Університету Джонса Гопкінса, Чженю Лю та Гевіном Чжуном, ввів шкідливу інструкцію в заголовок PR, і побачив, як дія Claude Code Security Review від Anthropic опублікувала власний API-ключ як коментар. Той самий ін’єкційний промпт спрацював проти Gemini CLI Action та Copilot Agent від GitHub. Anthropic класифікував це як CVSS 9.4 Critical.
Введення промптів досягає eval() через легітимні виклики API
Microsoft розкрила CVE-2026-26030 та CVE-2026-25592 7 травня, обидві з критичним рівнем загрози в Semantic Kernel. Уразливість Python SDK дозволила створеному промпту досягти виконання віддаленого коду на рівні хоста. Уразливість .NET SDK перетворила випадково виявлений допоміжний інструмент для передачі файлів на засіб, який модель ШІ могла викликати, що дозволило втекти з пісочниці в Azure Container Apps.
Соціальні канали доставляють корисне навантаження там, де EDR не має сигналу
Звіт CrowdStrike 2026 Financial Services Threat Landscape, опублікований 14 травня, кількісно оцінив масштаби викрадення особистих даних за межами інструментарію розробників. Групи, пов’язані з КНДР, вкрали цифрові активи на суму 2,02 мільярда доларів у 2025 році, що на 51% більше порівняно з попереднім роком. PRESSURE CHOLLIMA провела найбільшу одноразову фінансову крадіжку за всю історію: 1,46 мільярда доларів через троянізоване програмне забезпечення, розповсюджене шляхом компрометації ланцюжка поставок. FAMOUS CHOLLIMA подвоїла свої операції, використовуючи ідентифікатори, згенеровані ШІ. STARDUST CHOLLIMA потроїла свій темп. Основні канали доставки: WhatsApp та LinkedIn, де EDR не має сигналу.
“Організації фінансових послуг стикаються з загрозами з усіх боків, а ШІ робить кожну з них складнішою для зупинки”, – заявив Адам Майерс, старший віце-президент з контр-адверсерних операцій у CrowdStrike, у звіті. “Зловмисники використовують ШІ для скорочення часу від початкового доступу до впливу, рухаючись довіреними шляхами швидше, ніж можуть реагувати застарілі засоби захисту”. Його звіт Global Threat Report 2026 виявив, що 82% виявлень у 2025 році були без шкідливого програмного забезпечення. Середній час прориву з боку eCrime скоротився до 29 хвилин, причому найшвидший випадок спостерігався за 27 секунд.
Рімер розповів VentureBeat, що така ж динаміка стосується інструментарію розробників. “Шахраї переходять до наступної найслабшої ланки. Дозвольте мені отримати ключ від чийогось будинку, і я зможу пройти через задні двері”. Викрадені ідентифікатори розробників – це ключ від будинку.
Тіньове використання ШІ потроїлося за один рік
Звіт Verizon 2026 DBIR виявив, що 45% співробітників регулярно користуються ШІ, порівняно з 15% минулого року, причому 67% отримують доступ до ШІ через некорпоративні облікові записи. Стороннє втручання у витоки даних зросло до 48%.
Аудит викрадених ідентичностей інструментів розробника
Жодна окрема поверхня в цій сітці не є нульовим днем. Поєднані разом, вони функціонують як один. “Я можу взяти купу дрібниць, об’єднати їх і отримати той самий рівень доступу”, – сказав Рімер VentureBeat. “ШІ робить це дуже, дуже добре”.
|
Поверхня |
Інцидент / Вектор |
Прогалина у видимості |
Рекомендована дія |
|
Внутрішні репозиторії GitHub |
TeamPCP (UNC6780) викрав ~3 800 внутрішніх репозиторіїв через заражене розширення VS Code на пристрої співробітника. GitHub підтвердив 20 травня. Критичні секрети були обернені вночі. Список включає репозиторії безпеки інфраструктури та інструменти ШІ |
Клієнти не можуть аудіювати вміст внутрішніх репозиторіїв. Викрадені секрети впливають на всіх користувачів |
Оберніть токени, видані GitHub, секрети OAuth-додатків та довірені відносини Actions OIDC |
|
Перевірка довіреності npm |
Хвиля Mini Shai-Hulud (19 травня). 639 шкідливих версій за даними Socket. Викрадена ідентичність учасника створила дійсні сертифікати Sigstore під час виконання |
Перевірка довіреності проходить. Ідентичність підпису викрадена. Зачеплено 16 мільйонів завантажень на тиждень |
Припиніть вважати значки довіреності достатніми. Додайте поведінковий аналіз під час встановлення. Встановіть `minimumReleaseAge` |
|
Автоматичне оновлення розширень VS Code |
Nx Console v18.95.0 (18 травня). Викрадений токен учасника, сирітський коміт, три канали викрадення даних. Таргетувалися конфігурації Claude Code. 2,2 мільйона встановлень |
Автоматичне оновлення безшумно запускає збирач облікових даних. Відсутня категорія виявлення |
Закріпіть версії розширень. Аудіюйте політику автоматичного оновлення. Перегляньте управління токенами видавця |
|
Діалог довіри CLI агентів ШІ |
TrustFall (Adversa AI). Усі чотири CLI автоматично запускають недовірені MCP-сервери одним натисканням кнопки |
Діалог довіри – це функція, а не подія безпеки. Безголовий CI повністю пропускає діалог |
Вимкніть `enableAllProjectMcpServers`. Вимагайте явного схвалення для кожного сервера |
|
Виконання агентів конвеєрів CI/CD |
Comment and Control (Johns Hopkins, CVSS 9.4). Коментарі PR обробляються як інструкції для агентів |
Шкідливий `.mcp.json` виконується з повними обліковими даними раннера. Нульова людська взаємодія |
Обмежте виконання агентів до гілок після злиття. Перегляньте робочі процеси `pull_request_target` |
|
Шлях eval() фреймворку агентів ШІ |
Semantic Kernel CVE-2026-26030 (9.9) та CVE-2026-25592 (10.0). Введення промптів досягає eval() |
EDR бачить затверджений виклик. Плоска площина автентифікації не поважає дозволи користувача |
Оновіть до Python 1.39.4+ / .NET 1.71.0+. Вимкніть автоматичне виклик |
|
Позасмугова доставка |
CrowdStrike FinServ (14 травня). WhatsApp та LinkedIn як основні вектори. CHOLLIMA подвоїв та потроїв темп |
EDR не має сигналу на доставку через соціальні мережі. Ідентифікатори, згенеровані ШІ, у великих масштабах |
Додайте WhatsApp та LinkedIn до плейбуків щодо внутрішніх загроз |
Сім поверхонь. Одна група підтверджена щонайменше на трьох із них, а загальнодоступні інструменти дозволяють копіювати дії на решті. Кейн МакГладрі, старший член IEEE, заявив VentureBeat, що організації “за замовчуванням клонують профілі користувачів для агентів, а розповсюдження дозволів починається з першого дня”. Комплаєнс-фреймворки, на які покладаються підприємства, були написані для людей. Ідентичності агентів не з’являються в жодному каталозі контролю, з яким стикався МакГладрі.
Як захиститися (Порада ІТ-Блогу): Уважно перевіряйте дозволи та джерела будь-яких розширень, які ви встановлюєте для VS Code або інших інструментів розробки. Краще витратити кілька додаткових хвилин на перевірку, ніж ризикувати компрометацією критично важливих даних. Розгляньте можливість обмеження використання сторонніх розширень лише тими, які абсолютно необхідні та мають високу репутацію.
За матеріалами: venturebeat.com