GitHub-Quellcodeverletzung – TeamPCP behauptet Zugriff auf internen Quellcode

 (cybersecuritynews.com)
1 Punkte von GN⁺ 1 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • TeamPCP behauptet, aus internen GitHub-Systemen proprietäre Organisationsdaten und Quellcode entwendet zu haben, und bietet diese in Untergrundforen zum Verkauf an
  • Der Verkaufsbeitrag verlangt Gebote von mehr als 50.000 US-Dollar und soll etwa 4.000 private Repositories umfassen, die mit der GitHub-Hauptplattform verbunden sind
  • TeamPCP veröffentlichte Screenshots mit sichtbaren Dateilisten und Namen von Repository-Archiven und erklärte, ernsthaften Käufern Proben bereitzustellen
  • GitHub bestätigte, den unbefugten Zugriff auf interne Repositories zu untersuchen, erklärte jedoch, es gebe keine Hinweise auf Auswirkungen für Kundenunternehmen, Organisationen oder Repositories
  • TeamPCP wird als finanziell motivierte Gruppe beschrieben, die als UNC6780 verfolgt wird und in der Vergangenheit CI/CD-Anmeldedaten und Zugriffstokens missbraucht hat

Behaupteter Einbruch und Reaktion von GitHub

  • Ein unter dem Alias TeamPCP auftretender Bedrohungsakteur behauptet, interne GitHub-Systeme kompromittiert und proprietäre Organisationsdaten sowie Quellcode exfiltriert zu haben
  • Die Angreifer bieten den gestohlenen Datensatz in einem Untergrund-Cybercrime-Forum zum Verkauf an und verlangen Gebote von mehr als 50.000 US-Dollar
  • Laut Verkaufsbeitrag umfasst der kompromittierte Datensatz rund 4.000 private Repositories, die direkt mit der GitHub-Hauptplattform verbunden sind
  • TeamPCP legte als Beleg Screenshots mit offengelegten Dateilisten und den Namen mehrerer Repository-Archive vor
  • Ernsthaften Käufern wolle man Datenproben zur Echtheitsprüfung bereitstellen
  • GitHub bestätigte nach der Verbreitung der Behauptungen über X, dass der unbefugte Zugriff auf interne Repositories untersucht wird
  • Bislang gebe es keine Hinweise darauf, dass Enterprise-Kunden, Organisationen oder Repositories von Kunden betroffen sind
  • GitHub überwacht die Infrastruktur genau, um Folgeaktivitäten festzustellen, bestätigt oder dementiert jedoch weder den Angriffsweg noch die Behauptung zu den 4.000 Repositories
  • Die Untersuchung dauert an; anschließend veröffentlichte GitHub nach der Untersuchung ein Update

Kontext zu den Aktivitäten von TeamPCP

  • TeamPCP wird als finanziell motivierte Bedrohungsgruppe beschrieben, die von der Google Threat Intelligence Group als UNC6780 verfolgt wird
  • Der Gruppe wird eine Vorgeschichte von Supply-Chain-Angriffen über mehrere Ökosysteme hinweg zugeschrieben
  • Der Trivy Vulnerability Scanner soll über CVE-2026-33634 ausgenutzt worden sein, was zu der behaupteten Kompromittierung von mehr als 1.000 Organisationen, darunter Cisco, geführt habe
  • Checkmarx und LiteLLM wurden als Ziele einer schnellen Kampagne genannt, die auf den Diebstahl von Anmeldedaten in CI/CD-Pipelines abzielte
  • Im Zusammenhang mit Shai-Hulud Malware wird TeamPCP zugeschrieben, gestohlene Konten genutzt zu haben, um den Quellcode der eigenen Shai-Hulud-Malware direkt auf GitHub offenzulegen
  • TeamPCP soll ein Vorgehensmuster haben, bei dem gestohlene CI/CD-Anmeldedaten und privilegierte Zugriffstokens missbraucht werden, um tiefer in die Zielinfrastruktur vorzudringen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 1 시간 전
Lobste.rs-Kommentare

  • Es ist erwähnenswert, dass GitHub seit Langem de facto im Zustand Quellcode einsehbar war

    1. QCOW2 von https://enterprise.github.com/releases herunterladen und in einer Linux-VM nach Wahl mounten
    2. Die Verschleierung mit https://gist.github.com/iscgar/e8ea7560c9582e4615fcc439177e22b7 aufheben. Bei GHES-Versionen der letzten 10 Jahre muss man nur L33 entfernen
      Ziemlich freundlich, dass man sogar die Helm-Charts für .com bekommen kann, obwohl GHES auf Nomad basiert
      Das ist einer der Hintergründe, warum Wiz CVE-2026-3854 finden konnte

  • Dieses Team war zuletzt an mehreren Hacks (Shai-Hulud, Trivy, LiteLLM, GitHub) beteiligt, und wenn die Berichterstattung über solche Sicherheitsvorfälle hier thematisch passt, ist das durchaus interessant
    Eine Haltung wie „Hier gibt es viele trockene Süchtige und ehemalige Verkäufer/Dealer, und Cyberkriminalität funktioniert wie eine seltsame Form der Therapie. Sie hält einen von Alkohol oder Drogen fern, lässt einen schlechte Situationen für eine Weile vergessen und gibt etwas, worin man gut ist, obwohl man es legal nicht tun darf, einen Sinn“ taucht unter Hackern immer wieder auf
    In Phineas Fishers HackBack findet sich eine ähnliche Formulierung: „Hacking ließ mich fühlen, dass ich lebe, und anfangs war es ein Mittel zur Selbstbehandlung meiner Depressionen. Später erkannte ich, dass ich damit auch etwas Positives tun konnte.“ TeamPCP und die Ziele sind unterschiedlich, aber es ist eine interessante Gemeinsamkeit

    • Der Teil, dass man es legal nicht tun kann, trifft einen. Ich will ihr Verhalten nicht verteidigen, aber darin zeigt sich eine weitere Ineffizienz menschlicher Gesellschaftssysteme

  • In diesem Beitrag wird Xeet erwähnt: https://lobste.rs/s/ges2gt/github_source_code_breach_teampcp_claims

  • Ich frage mich, warum das ein Twitter-Thread und kein Blogpost war

  • nitter.net wirkt instabil. Es gibt eine andere nitter-Instanz mit demselben Thread

  • Zusätzliche Informationen auf Twitter: https://nitter.net/xploitrsturtle2/status/2056927898771067006

    • Leider hat Microsoft das vermutlich so schnell wie möglich veröffentlicht, soweit die Bürokratie es erlaubt hat
      Irgendjemand wird stolz nach Hause gegangen sein, weil er das durch mehrere Management-Ebenen und die Prüfung der Rechtsabteilung gebracht hat, und für sich genommen war das innerhalb einer komplexen Organisationsstruktur vielleicht eine ziemlich große Leistung. Aber genau deshalb tun sich Großunternehmen schwer damit, ihren Kunden wirklich gut zu dienen