um grupo sofisticado de ameaças persistentes, conhecido como teampcp, reivindicou recentemente, em uma ação de grande repercussão, ter infiltrado com sucesso os sistemas internos do github e planejado vender seu código-fonte central e informações sobre a arquitetura organizacional por meio de uma “venda direta exclusiva” — uma estratégia que se diferencia do ransomware tradicional, ao direcionar-se a compradores específicos com transações de dados personalizadas. embora o grupo não tenha apresentado amostras verificáveis, limitando‑se a divulgar algumas estruturas de diretórios e capturas de tela de interfaces, autoridades do github confirmaram o incidente de forma urgente: investigações preliminares indicam que cerca de 3.800 repositórios de código internos foram roubados, abrangendo diversos produtos críticos e a infraestrutura de segurança.
os repositórios comprometidos incluem os principais sistemas de p&d e operacionais do github, entre eles a base de código full‑stack do assistente de programação baseado em ia github copilot, o módulo de gerenciamento de releases da plataforma de implantação de nível empresarial github enterprise server, frameworks para exercícios ofensivos e defensivos de equipes de red team, sistemas de coordenação e resposta a vulnerabilidades, projetos de pesquisa voltados ao aprimoramento da proteção contra xss na camada de interface, bem como sistemas internos de suporte, como as operações da região da Índia e a governança de permissões do chatops. alguns dos nomes dos arquivos expostos apontam diretamente para módulos sensíveis, tais como:
- `raycast-github-copilot.tar.gz`
- `chiedo-copilot-cli-skills.tar.gz`
- `github-enterprise-server-release-notifier.tar.gz`
- `github-security-risk-reporting.tar.gz`
- `red-team.tar.gz`
- `github-ui-xss-hardening-research.tar.gz`
- `github-india.tar.gz`
- `repo-custom-claims-chatops.tar.gz`
a análise de rastreamento revela que a cadeia de ataque teve início quando um funcionário do github instalou uma extensão adulterada do visual studio code — um plug-in mantido por um desenvolvedor terceirizado cujo ambiente de desenvolvimento já havia sido infectado por um backdoor do tipo worm pelo teampcp. com esse acesso, os invasores sequestraram credenciais e assinaram retroativamente atualizações maliciosas, permitindo movimentação lateral automatizada. ao detectar comportamentos anormais, o github rapidamente removeu a extensão comprometida, isolou os endpoints afetados e implementou a rotação obrigatória de todas as credenciais de alto privilégio. dada a natureza furtiva e a escalabilidade do mecanismo de propagação do worm, a equipe continua revisando logs e identificando possíveis ativos comprometidos, a fim de prevenir novas infiltrações secundárias.
atualmente, o github iniciou uma revisão abrangente de segurança e publicará em breve um relatório completo da investigação, revelando detalhes técnicos e diretrizes para aprimoramentos defensivos.
