Официальный аккаунт GitHub @github в 7:48 утра по пекинскому времени 20 мая опубликовал в X сообщение, подтверждающее, что компания проводит расследование случая несанкционированного доступа к внутренним репозиториям GitHub. В настоящее время «нет никаких доказательств того, что данные клиентов, хранящиеся за пределами внутренних репозиториев GitHub (включая корпоративные аккаунты, организации и репозитории), пострадали». Компания также отметила, что продолжает отслеживать состояние своей инфраструктуры; в случае выявления каких-либо проблем пользователей уведомят через стандартные каналы реагирования на инциденты. Прямой поводом для этого инцидента стало появление на форуме киберпреступников hackrisk.io поста от группы TeamPCP, в котором утверждалось, что они похитили исходный код и данные внутренних организаций GitHub; примерно 4000 частных репозиториев были выставлены на продажу за минимальную цену в 50 тысяч долларов США. В посте подчеркивалось, что «это не вымогательство»: группа обещала удалить данные после их покупки одним клиентом, а в противном случае бесплатно опубликовать утечку. Примерно через 45 минут последовал официальный ответ от GitHub.
Как сообщает The Hacker News, TeamPCP — известная группа злоумышленников, неоднократно совершавшая атаки на цепочки поставок открытого программного обеспечения; с ней связывают создателей вредоносного ПО Shai-Hulud. Следует отметить, что данный инцидент и ранее выявленная в марте уязвимость CVE-2026-3854 (RCE-уязвимость, обнаруженная компанией Wiz и устраненная GitHub до ее эксплуатации) являются двумя независимыми событиями: факт использования CVE-2026-3854 так и не был подтвержден, а случай несанкционированного доступа к внутренним репозиториям представляет собой новый выявленный инцидент безопасности; вектор атаки пока не раскрывается. На момент публикации расследование все еще продолжается; точное количество затронутых репозиториев и детали атаки не разглашаются.