GitHub Conferma la Violazione di 3.800 Repo tramite Estensione VS Code Infetta

GitHub sta affrontando una grave violazione della sicurezza interna. L’azienda ha confermato il 20 maggio 2026 che gli hacker hanno compromesso il dispositivo di un dipendente utilizzando un’estensione VS Code infetta. Hanno ottenuto accesso non autorizzato a circa 3.800 repository interni.

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…

— GitHub (@github) May 20, 2026

GitHub ha agito rapidamente, isolando il dispositivo, rimuovendo l’estensione malevola e ruotando le credenziali critiche entro poche ore dalla rilevazione. È importante notare che l’azienda afferma che attualmente non ci sono evidenze di impatto sui dati dei clienti, sugli account aziendali o sui repository degli utenti. Le notizie di GitHub oggi sono un chiaro promemoria per ogni sviluppatore con chiavi API memorizzate in repo privati.

Come è Avvenuto l’Attacco

Il vettore dell’attacco era ingannevolmente semplice. Un attore malevolo ha incorporato malware all’interno di un’estensione VS Code. Un dipendente di GitHub ha installato la versione infetta. Da lì, l’attaccante ha ottenuto accesso al dispositivo del dipendente e ha iniziato a estrarre dati dai repository interni.

GitHub ha confermato la cronologia direttamente in un thread pubblico. “Ieri abbiamo rilevato e contenuto una compromissione del dispositivo di un dipendente coinvolgente un’estensione VS Code infetta,” ha dichiarato l’azienda. “Abbiamo rimosso la versione malevola dell’estensione, isolato il punto finale e avviato immediatamente la risposta all’incidente.”

Il gruppo di minaccia TeamPCP ha successivamente rivendicato la responsabilità su forum di cybercriminalità sotterranei. Il gruppo sostiene di aver ottenuto dati da circa 4.000 repository privati. Include codice sorgente della piattaforma proprietaria e file interni dell’organizzazione, e si sta tentando di vendere il dataset per oltre 50.000 dollari. GitHub ha valutato che la rivendicazione dell’attaccante di circa 3.800 repository è “direttamente coerente” con i risultati della sua indagine finora.

La Risposta di GitHub

La risposta alla violazione della sicurezza si è mossa su più fronti contemporaneamente. GitHub ha ruotato i segreti critici lo stesso giorno della rilevazione, dando priorità alle credenziali a maggiore impatto. Il team di sicurezza ha isolato immediatamente il punto finale interessato. Gli analisti stanno esaminando continuamente i log per eventuali attività successive. Inoltre, il marketplace ha rimosso la versione malevola dell’estensione VS Code dalla circolazione. GitHub si è impegnata a pubblicare un rapporto più completo una volta completata l’indagine. Hanno promesso di notificare i clienti attraverso i canali di risposta agli incidenti stabiliti se verrà scoperto un impatto sui clienti.

Reazione dell’Industria

La comunità degli sviluppatori più ampia ha risposto rapidamente. Il fondatore di Binance CZ ha emesso un avviso diretto al suo pubblico. “Se hai chiavi API nel tuo codice, anche in repo privati, ora è il momento di ricontrollarle e cambiarle,” ha postato, amplificando le notizie sulla violazione della sicurezza di GitHub a milioni di sviluppatori in tutto il mondo. Quel consiglio non è precauzionale. È urgente. Gli sviluppatori memorizzano frequentemente chiavi API, token di autenticazione e credenziali di servizio all’interno di repository privati, assumendo che siano al sicuro dall’esposizione.

Il Contesto Più Ampio per gli Sviluppatori

Le notizie di violazione della sicurezza di questa portata da GitHub hanno implicazioni enormi. Questo perché GitHub ospita oltre 100 milioni di repository e funge da infrastruttura principale per il codice nell’ecosistema globale degli sviluppatori. Di conseguenza, una violazione che colpisce repository interni, anche senza esposizione dei dati dei clienti, rivela l’enorme superficie di attacco che le minacce alla supply chain rappresentano.

Per gli sviluppatori, tre azioni immediate sono importanti. Prima di tutto, ruotare qualsiasi chiave API memorizzata nei repository, sia privati che pubblici. In secondo luogo, controllare le liste delle estensioni in VS Code e rimuovere qualsiasi cosa non verificata. Infine, abilitare la scansione dei segreti nei repository per catturare automaticamente le credenziali esposte. Anche se l’indagine è in corso, la trasparenza di GitHub durante tutto il processo è stata notevole. Il rapporto più completo, quando pubblicato, sarà una lettura essenziale per ogni team di sicurezza nel settore tecnologico.