Xâm phạm mã nguồn GitHub - TeamPCP tuyên bố đã truy cập mã nguồn nội bộ

 (cybersecuritynews.com)
1 điểm bởi GN⁺ 1 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • TeamPCP tuyên bố đã lấy được dữ liệu tổ chức độc quyền và mã nguồn từ các hệ thống nội bộ của GitHub, đồng thời đang rao bán trên một diễn đàn ngầm
  • Bài đăng rao bán yêu cầu đề nghị trên 50.000 USD và tuyên bố bao gồm khoảng 4.000 kho lưu trữ riêng tư được liên kết với nền tảng chính của GitHub
  • TeamPCP công bố ảnh chụp màn hình hiển thị danh sách tệp và tên kho lưu trữ lưu trữ, đồng thời cho biết sẽ cung cấp mẫu cho người mua nghiêm túc
  • GitHub xác nhận đang điều tra truy cập trái phép vào các kho lưu trữ nội bộ, nhưng cho biết chưa có bằng chứng cho thấy khách hàng doanh nghiệp, tổ chức hoặc kho lưu trữ bị ảnh hưởng
  • TeamPCP được mô tả là một nhóm có động cơ tài chính bị theo dõi dưới tên UNC6780, có tiền sử lạm dụng thông tin xác thực CI/CD và token truy cập

Tuyên bố xâm phạm và phản hồi của GitHub

  • Một tác nhân đe dọa có bí danh TeamPCP tuyên bố đã xâm nhập các hệ thống nội bộ của GitHub và làm rò rỉ dữ liệu tổ chức độc quyền cùng mã nguồn
  • Kẻ tấn công đang rao bán bộ dữ liệu bị đánh cắp trên một diễn đàn tội phạm mạng ngầm, yêu cầu đề nghị trên 50.000 USD
  • Theo bài đăng rao bán, dữ liệu bị xâm phạm bao gồm khoảng 4.000 kho lưu trữ riêng tư được kết nối trực tiếp với nền tảng chính của GitHub
  • TeamPCP đưa ra ảnh chụp màn hình hiển thị danh sách tệp công khai và tên lưu trữ của nhiều kho lưu trữ như bằng chứng
  • Nhóm này cho biết sẽ cung cấp mẫu dữ liệu để xác minh tính xác thực cho những người mua nghiêm túc
  • Sau khi các tuyên bố này lan truyền, GitHub xác nhận qua X rằng họ đang điều tra truy cập trái phép vào các kho lưu trữ nội bộ
  • Công ty cho biết đến nay chưa có bằng chứng cho thấy các doanh nghiệp, tổ chức hoặc kho lưu trữ của khách hàng bị ảnh hưởng
  • GitHub đang giám sát chặt chẽ hạ tầng để xác định hoạt động tiếp theo, đồng thời không xác nhận cũng không bác bỏ phương thức truy cập và tuyên bố về 4.000 kho lưu trữ
  • Cuộc điều tra vẫn đang tiếp diễn, và sau đó GitHub đã đăng cập nhật sau quá trình điều tra

Bối cảnh hoạt động của TeamPCP

  • TeamPCP được giới thiệu là một nhóm đe dọa có động cơ tài chính được Google Threat Intelligence Group theo dõi dưới tên UNC6780
  • Nhóm này được cho là có tiền sử thực hiện tấn công chuỗi cung ứng trên nhiều hệ sinh thái
  • Trivy Vulnerability Scanner được cho là đã bị khai thác thông qua CVE-2026-33634, dẫn đến việc xâm phạm hơn 1.000 tổ chức, bao gồm cả Cisco
  • Checkmarx và LiteLLM trở thành mục tiêu của các chiến dịch tốc độ cao nhằm đánh cắp thông tin xác thực trong pipeline CI/CD
  • Liên quan đến Shai-Hulud Malware, TeamPCP được mô tả là đã sử dụng các tài khoản bị chiếm đoạt để trực tiếp làm rò rỉ mã nguồn phần mềm độc hại Shai-Hulud của chính họ lên GitHub
  • TeamPCP được cho là có mô hình hoạt động lợi dụng thông tin xác thực CI/CD bị đánh cắp và token truy cập có đặc quyền để di chuyển sâu hơn vào bên trong hạ tầng mục tiêu

Bài viết liên quan

1 bình luận

 
GN⁺ 1 giờ trước
Ý kiến trên Lobste.rs

  • Cũng nên nhớ rằng từ lâu GitHub về thực chất đã ở trạng thái có thể xem mã nguồn

    1. Tải QCOW2 từ https://enterprise.github.com/releases rồi mount vào Linux VM tùy ý
    2. Sau đó gỡ rối mã bằng https://gist.github.com/iscgar/e8ea7560c9582e4615fcc439177e22b7. Với các phiên bản GHES trong 10 năm gần đây thì chỉ cần bỏ L33
      Họ còn khá “tận tình” đến mức dù GHES dựa trên Nomad, bạn vẫn có thể lấy cả Helm chart dành cho .com
      Đây cũng là một trong những lý do Wiz có thể phát hiện CVE-2026-3854

  • Nhóm này gần đây đã dính líu đến nhiều vụ hack (Shai-Hulud, Trivy, LiteLLM, GitHub), và nếu các bài đăng về sự cố xâm nhập kiểu này phù hợp với chủ đề ở đây thì điều đó cũng khá đáng chú ý
    Tâm thế kiểu như “ở đây có nhiều người đang cai nghiện và cả người từng bán hàng/đầu nậu, và tội phạm mạng vận hành như một kiểu trị liệu kỳ lạ. Nó giúp tránh xa rượu hay ma túy, tạm quên đi hoàn cảnh tồi tệ, và cho họ một mục đích để làm điều mà họ không có tư cách làm một cách hợp pháp nhưng lại rất giỏi” lặp đi lặp lại giữa giới hacker
    Trong HackBack của Phineas Fisher cũng có câu tương tự: “Hacking khiến tôi cảm thấy mình còn sống, và lúc đầu nó là cách tôi tự chữa chứng trầm cảm. Sau này tôi nhận ra mình có thể dùng nó để làm những điều tích cực.” Mục tiêu của TeamPCP khác, nhưng đây vẫn là một điểm chung thú vị

    • Tôi khá đồng cảm với phần nói rằng họ không thể làm điều đó một cách hợp pháp. Không phải để biện hộ cho hành vi của họ, nhưng đó là một chỗ cho thấy một sự kém hiệu quả khác của hệ thống xã hội loài người

  • Trong bài gửi này có nhắc đến Xeet: https://lobste.rs/s/ges2gt/github_source_code_breach_teampcp_claims

  • Tôi thắc mắc vì sao đây lại là một chuỗi Twitter chứ không phải một bài blog

  • Có vẻ nitter.net không ổn định. Đây là một instance Nitter khác hiển thị cùng chuỗi đó

  • Thông tin bổ sung từ Twitter: https://nitter.net/xploitrsturtle2/status/2056927898771067006

    • Đáng tiếc là Microsoft có lẽ đã công bố nhanh nhất có thể trong phạm vi mà bộ máy quan liêu cho phép
      Có lẽ ai đó đã tan làm trong tâm thế tự hào về tốc độ họ đưa được việc này qua nhiều tầng quản lý và khâu rà soát pháp lý, và bản thân điều đó có thể đã là một thành tựu khá lớn trong một cơ cấu tổ chức phức tạp. Nhưng cũng chính vì vậy mà các tập đoàn lớn khó lòng thực sự phục vụ khách hàng một cách tốt đẹp