GitHub conferma il breach di circa 3.800 repository interni causato da un’estensione malevola per Visual Studio Code installata sul dispositivo di un dipendente. Il gruppo hacker TeamPCP ha rivendicato pubblicamente l’attacco e minaccia di vendere o pubblicare gratuitamente il codice sorgente sottratto. L’azienda ha reagito immediatamente isolando il sistema compromesso, rimuovendo l’estensione dal marketplace ufficiale e ruotando i segreti critici con priorità ai credential ad alto impatto. L’incidente arriva mentre lo stesso gruppo risulta coinvolto anche nella compromissione della supply chain npm di TanStack che ha esposto codice sorgente di Grafana Labs. Gli episodi evidenziano i rischi concreti delle estensioni di sviluppo e delle moderne supply chain software. Secondo quanto comunicato da GitHub, non emergono evidenze di compromissione di repository pubblici o dati di clienti enterprise. L’attacco resta confinato ai repository privati interni utilizzati per sviluppo operativo, collaborazione e archiviazione di codice aziendale sensibile.
Cosa leggere
GitHub rileva il breach partito da un’estensione avvelenata di Visual Studio Code
Il 19 maggio 2026 GitHub ha identificato e contenuto la compromissione di un dispositivo aziendale appartenente a un dipendente interno. L’attacco è iniziato attraverso una versione avvelenata di un’estensione distribuita tramite il marketplace ufficiale di Visual Studio Code. Gli attaccanti hanno utilizzato l’accesso ottenuto per esfiltrare circa 3.800 repository interni appartenenti all’organizzazione GitHub. Il numero coincide con quanto dichiarato pubblicamente dal gruppo TeamPCP nei forum underground dedicati al cybercrime. Gli hacker hanno pubblicato un annuncio sul forum Breached offrendo i dati rubati per almeno 50.000 dollari e minacciando il rilascio gratuito del materiale in caso di mancata vendita. GitHub ha confermato che l’attività malevola si è limitata esclusivamente a repository interni e non ha coinvolto codice o segreti appartenenti ai clienti che utilizzano la piattaforma. Questa distinzione risulta fondamentale considerando che milioni di sviluppatori e organizzazioni ospitano progetti critici su GitHub. Il caso dimostra ancora una volta come le estensioni per ambienti di sviluppo rappresentino un vettore di attacco particolarmente efficace contro le infrastrutture software moderne.
GitHub rimuove l’estensione malevola e ruota i segreti critici
GitHub ha reagito rapidamente all’incidente attivando immediatamente le procedure di incident response interne. L’estensione compromessa è stata rimossa dal marketplace di VS Code entro poche ore dalla scoperta dell’attacco. Parallelamente il dispositivo coinvolto è stato isolato per impedire ulteriori movimenti laterali all’interno dell’infrastruttura aziendale. L’azienda ha inoltre avviato una rotazione urgente dei segreti critici e dei credential ad alto impatto sia durante la giornata dell’incidente sia nel corso della notte successiva. I team di sicurezza continuano a monitorare l’infrastruttura per individuare eventuali attività successive riconducibili agli attaccanti.
GitHub ha dichiarato che pubblicherà un report completo una volta concluse le indagini tecniche e forensi. Al momento non esistono evidenze di esfiltrazione di token GitHub appartenenti ai clienti né di dati sensibili esterni all’organizzazione. L’attacco ha riguardato soltanto repository interni utilizzati per operazioni aziendali e sviluppo software privato. Questa limitazione riduce significativamente il rischio immediato per gli utenti della piattaforma ma non elimina le implicazioni di sicurezza legate alla compromissione della supply chain di sviluppo.
TeamPCP rivendica il furto e minaccia il leak del codice sorgente
Il gruppo TeamPCP ha rivendicato pubblicamente l’accesso a circa 4.000 repository privati appartenenti a GitHub. Gli attaccanti risultano già noti alla comunità cybersecurity per precedenti campagne contro la supply chain software attraverso piattaforme come PyPI, NPM e Docker. Sul forum Breached il gruppo ha pubblicato prove parziali dell’accesso offrendo campioni di codice agli eventuali acquirenti interessati. La richiesta economica minima è fissata a 50.000 dollari mentre in assenza di compratori gli hacker minacciano il rilascio gratuito dell’intero archivio. La strategia comunicativa di TeamPCP punta chiaramente a massimizzare la pressione mediatica e reputazionale su GitHub e Microsoft. Lo stesso gruppo risulta coinvolto anche nell’attacco recente contro la supply chain npm di TanStack, incidente che ha colpito direttamente Grafana Labs. In quel caso gli attaccanti avevano sfruttato un token GitHub non ruotato correttamente per accedere e scaricare repository pubblici e privati dell’azienda. Grafana ha successivamente ruotato migliaia di token, auditato tutti i commit e rafforzato i controlli di sicurezza senza pagare alcun riscatto. L’attività di TeamPCP conferma la crescente centralità degli attacchi supply chain nelle campagne cybercriminali moderne.
Le estensioni VSCode diventano un rischio concreto per la supply chain software
Il breach di GitHub evidenzia con estrema chiarezza i rischi associati alle estensioni di Visual Studio Code e agli ambienti di sviluppo moderni. Milioni di sviluppatori installano quotidianamente plugin dal marketplace ufficiale senza verificare approfonditamente autore, provenienza o permessi richiesti. Una singola estensione avvelenata può trasformarsi rapidamente in un vettore di accesso a repository privati, token di autenticazione e segreti aziendali. GitHub raccomanda ora di rivedere tutte le estensioni installate nei propri ambienti di sviluppo e di abilitare l’autenticazione a due fattori su ogni account associato a repository sensibili.
L’incidente dimostra anche quanto il principio del least privilege resti spesso sottovalutato nelle organizzazioni enterprise. L’ampio accesso del singolo dipendente compromesso a migliaia di repository ha amplificato enormemente l’impatto dell’attacco. GitHub starebbe valutando nuove misure interne per limitare l’esposizione di codice sensibile e ridurre la superficie di attacco nei workflow aziendali. Gli esperti sottolineano che il problema non riguarda solo Visual Studio Code ma l’intero ecosistema di plugin, package manager e dipendenze esterne utilizzate nello sviluppo software moderno.
Grafana Labs rafforza la sicurezza dopo il breach collegato a TanStack
Grafana Labs ha reagito in modo proattivo al proprio incidente collegato alla compromissione della supply chain di TanStack. L’azienda ha rilevato attività sospette l’11 maggio 2026 e ha immediatamente avviato procedure di contenimento avanzate. I team di sicurezza hanno ruotato un numero elevato di token GitHub utilizzati nei workflow interni e implementato sistemi di monitoraggio rafforzati per individuare eventuali attività anomale. Tutti i commit presenti nei repository coinvolti sono stati auditati manualmente alla ricerca di modifiche malevole o backdoor nascoste. Secondo quanto comunicato dall’azienda, nessun sistema di produzione né dati dei clienti risultano compromessi. L’episodio conferma tuttavia che TeamPCP continua a privilegiare attacchi indiretti alla supply chain software per ottenere accesso a codice sorgente sensibile e infrastrutture strategiche. Gli attaccanti sfruttano spesso errori di gestione dei token, workflow CI/CD troppo permissivi e dipendenze software compromesse per aggirare le protezioni tradizionali. Il caso Grafana rafforza ulteriormente il dibattito sulla sicurezza delle pipeline DevOps e sulla necessità di adottare controlli molto più severi nei processi di sviluppo distribuito.
Microsoft e GitHub rafforzano i controlli sul marketplace VSCode
Microsoft, proprietaria sia di GitHub sia di Visual Studio Code, ha confermato la rimozione immediata dell’estensione malevola dal marketplace ufficiale. L’azienda invita gli utenti a controllare accuratamente tutte le estensioni installate e a verificare eventuali autorizzazioni eccessive richieste dai plugin utilizzati quotidianamente. Il marketplace di VS Code rimane sotto osservazione rafforzata per prevenire ulteriori casi di supply chain attack. GitHub continua nel frattempo a monitorare la propria infrastruttura alla ricerca di attività di follow-on collegate agli attaccanti. L’azienda notificherà direttamente eventuali clienti coinvolti attraverso i canali ufficiali di incident response. Gli sviluppatori ricevono inoltre la raccomandazione di ruotare immediatamente token, segreti e credential presenti nei repository interni e di verificare l’integrità degli ambienti di sviluppo locali. L’incidente rappresenta un monito importante per l’intera comunità open source e enterprise. La sicurezza degli strumenti di sviluppo, la rotazione regolare dei credential e la verifica continua delle dipendenze software diventano elementi essenziali per difendersi da campagne sempre più sofisticate. Con l’aumento della complessità delle supply chain digitali, anche un singolo componente apparentemente innocuo può trasformarsi rapidamente in un punto di ingresso per operazioni cybercriminali su larga scala.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
