Der offizielle GitHub-Account @github bestätigte am 20. Mai um 7:48 Uhr Ortszeit in einer Nachricht auf X, dass man einen unbefugten Zugriff auf interne GitHub-Repositories untersuche. Bisher „gibt es keine Hinweise darauf, dass Kundendaten außerhalb der internen Repositories betroffen sind – dazu zählen unter anderem Unternehmenskonten, Organisationen sowie weitere Repositories“. Zudem werde die Infrastruktur weiterhin überwacht; falls es zu Auswirkungen kommt, würden die Nutzer über die üblichen Kanäle informiert. Auslöser des Vorfalls war ein Beitrag auf dem Cyberkriminalitätsforum hackrisk.io, der von der Gruppe „TeamPCP“ verfasst wurde. Darin behauptete TeamPCP, interne Quellcodes sowie Organisationsdaten von GitHub gestohlen zu haben; rund 4.000 private Repositories wurden ab einem Mindestpreis von 50.000 US-Dollar zum Verkauf angeboten. Im Beitrag hieß es außerdem: „Dies ist kein Erpressungsversuch“ – die Daten würden nach Verkauf an einen Käufer gelöscht; sollte kein Interessent gefunden werden, würden sie kostenlos öffentlich gemacht. Etwa 45 Minuten später reagierte GitHub offiziell.
Laut Berichten von The Hacker News handelt es sich bei TeamPCP um eine bekannte Bedrohungsgruppe, die bereits mehrfach Angriffe auf Open-Source-Software-Ökosysteme durchgeführt hat und in Verbindung mit den Entwicklern der Malware Shai-Hulud steht. Zu beachten ist, dass dieser Vorfall völlig unabhängig vom im März bekanntgegebenen Sicherheitsproblem CVE-2026-3854 ist – dabei handelte es sich um eine Remote-Code-Execution-Lücke, die von Wiz entdeckt und von GitHub noch vor ihrer Ausnutzung geschlossen wurde. Diese Lücke wurde tatsächlich nie missbraucht; der aktuelle Vorfall betrifft hingegen einen neu entdeckten Sicherheitsvorfall bezüglich interner Repositories, wobei die genaue Angriffsmethode bislang nicht bekannt ist. Zum Zeitpunkt der Veröffentlichung laufen die Untersuchungen weiterhin; weder der Umfang der betroffenen Repositories noch die konkreten Angriffswege wurden bisher offengelegt.