GitHub violata: 3.800 repository interni compromessi tramite estensione VS Code malevola (aggiornato: 20 maggio 2026, ore 07:25)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 20/05/2026, 07:25
- Pubblicato: 20/05/2026, 15:35
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Quando la piattaforma su cui milioni di sviluppatori custodiscono il proprio codice diventa essa stessa bersaglio di un'intrusione, il problema smette di essere una notizia tra le tante. GitHub ha confermato, tramite un comunicato pubblicato su X, di star indagando su un accesso non autorizzato ai propri repository interni. Non si parla - almeno per ora - di codice sorgente degli utenti: l'esfiltrazione riguarda i repository aziendali di GitHub stessa. Ma le circostanze e il vettore d'attacco meritano un'analisi attenta.
Cosa è successo
L'attore malevolo si firma TeamPCP ed è comparso su un forum del cybercrimine con un'offerta piuttosto esplicita: codice sorgente interno di GitHub e dati organizzativi in vendita per non meno di 50.000 dollari. Il tono della dichiarazione è quasi beffardo: «Come sempre, non si tratta di un riscatto. Non ci interessa estorcere nulla a GitHub. Un compratore e cancelliamo tutto dalla nostra parte. Sembra che il nostro pensionamento sia vicino, quindi se non si trova un acquirente, pubblichiamo tutto gratuitamente».
La segnalazione è arrivata poco prima dell'annuncio ufficiale di GitHub grazie a Dark Web Informer, un account specializzato in threat intelligence che monitora i mercati clandestini. GitHub ha dichiarato: «Al momento non abbiamo prove di impatto sulle informazioni dei clienti conservate al di fuori dei repository interni di GitHub, come le organizzazioni, le aziende e i repository dei nostri clienti, ma stiamo monitorando attentamente la nostra infrastruttura per rilevare eventuali attività successive». L'azienda ha aggiunto che notificherà i clienti tramite i propri canali consolidati di risposta agli incidenti qualora emergano conseguenze più ampie.
Circa 3.800 repository interni
Le prime rivendicazioni sul dark web parlavano di circa 4.000 repository sottratti. GitHub ha poi confermato un numero leggermente inferiore: «Le rivendicazioni attuali dell'attaccante relative a circa 3.800 repository sono direzionalmente coerenti con la nostra indagine finora». Si tratta esclusivamente di repository interni all'azienda - il codice ospitato dai milioni di utenti della piattaforma non risulta compromesso.
La distinzione è cruciale, ma non riduce la gravità dell'accaduto. I repository interni di una piattaforma come GitHub contengono potenzialmente informazioni sull'infrastruttura, sulle pipeline di sviluppo, su strumenti interni e credenziali: materiale prezioso per chi volesse orchestrare attacchi successivi.
Un'estensione VS Code avvelenata
Il vettore d'attacco è l'elemento più significativo dell'intera vicenda. L'intrusione è avvenuta attraverso un dispositivo compromesso di un dipendente, infettato tramite un'estensione malevola per Microsoft Visual Studio Code. Un approccio che non prende di mira l'infrastruttura della piattaforma frontalmente, ma colpisce l'anello più esposto: l'ambiente di lavoro dello sviluppatore.
È un modello che si sta affermando con preoccupante regolarità. Anziché cercare vulnerabilità nei sistemi di produzione, gli attaccanti puntano sulla supply chain degli strumenti di sviluppo - estensioni per l'editor, pacchetti di dipendenze, plugin. L'estensione incriminata è stata rimossa, il dispositivo compromesso isolato, e GitHub ha dichiarato di aver ruotato le credenziali critiche durante la notte, dando la priorità a quelle con l'impatto potenziale più elevato. Un rapporto completo sull'incidente è previsto al termine delle operazioni di risposta.
Cosa significa per chi usa GitHub
Per gli sviluppatori, i professionisti indipendenti e le piccole aziende che affidano il proprio codice a GitHub, il messaggio immediato è rassicurante: i repository degli utenti non risultano compromessi. Il messaggio più profondo è meno confortante. L'attacco dimostra che la supply chain degli strumenti di sviluppo è diventata il fronte principale. Un'estensione per VS Code - qualcosa che molti installano con la stessa disinvoltura con cui aggiungono un'estensione al browser - è bastata a penetrare le difese di un'azienda il cui mestiere è, letteralmente, la sicurezza del codice.
Qualche precauzione concreta: verificare l'origine e la reputazione delle estensioni installate nei propri ambienti di sviluppo, controllare le dipendenze dei propri progetti (specialmente i pacchetti Python scaricati da PyPI), tenere d'occhio le versioni compromesse di durabletask. Per chi gestisce pipeline CI/CD su Linux, il profilo dell'infostealer di TeamPCP è un motivo in più per eseguire audit regolari delle credenziali archiviate negli ambienti di esecuzione.
GitHub ha promesso un rapporto completo a indagine conclusa. Sarà importante leggerlo con attenzione - non tanto per i dettagli tecnici dell'intrusione, quanto per capire quali contromisure strutturali l'azienda intende adottare per evitare che un singolo dispositivo compromesso possa diventare la porta d'ingresso verso migliaia di repository interni.
Fonti: news.ycombinator.com, piunikaweb.com
