O GitHub confirma que extensões maliciosas do VS Code comprometeram a segurança, com roubo de cerca de 3.800 repositórios internos

A GitHub divulgou em 20 de maio, na X, uma atualização da investigação sobre um incidente de segurança, confirmando que um dispositivo de um colaborador foi comprometido através de uma extensão do VS Code com código malicioso embutido, o que levou ao roubo de cerca de 3,800 repositórios internos. A GitHub afirmou que não há provas de que as informações de clientes, para além dos repositórios de código interno alojados na GitHub, tenham sido afetadas. A GitHub removeu a extensão maliciosa, isolou os terminais afetados e fez a rotação das credenciais críticas.

Pormenores do incidente de segurança confirmados pela GitHub

De acordo com a confirmação no post oficial da GitHub na X:

Âmbito afetado: cerca de 3,800 repositórios internos da GitHub (o alegado pelo atacante quanto à quantidade é praticamente idêntico ao resultado da investigação da GitHub)

Causa raiz: comprometimento do dispositivo do colaborador

Vetores de ataque: extensão do VS Code com código malicioso embutido (ataque à cadeia de fornecimento dos programadores)

Impacto nos clientes: a GitHub confirmou a “exfiltração estritamente limitada aos dados dos repositórios de código internos alojados na GitHub”; não foram encontradas provas de que tenha ocorrido impacto sobre dados de clientes, empresas, organizações ou repositórios

Confirmação sobre os autores da ameaça

De acordo com a divulgação da Dark Web Informer (uma empresa de informações sobre ameaças), o autor da ameaça, que usa o nome TeamPCP, já publicava, no dark web, antes do anúncio da GitHub, informações de produtos à venda referentes ao código-fonte interno do GitHub e aos dados de organizações. O H2S Media confirmou que a organização por detrás do TeamPCP e do malware worm Shai-Hulud é a mesma; este malware causou recentemente infeções generalizadas em repositórios open source.

Medidas de resposta adotadas

De acordo com a confirmação do comunicado oficial da GitHub:

Concluídas: remoção da extensão maliciosa do VS Code, isolamento dos terminais afetados e rotação prioritária das credenciais críticas com maior impacto (concluídas no próprio dia e durante a noite em que o incidente foi detetado)

Em curso: análise de registos, verificação do estado da rotação das credenciais, monitorização das atividades subsequentes e investigação abrangente do incidente

Planeadas: publicação do relatório completo após o fim da investigação; caso seja detetado um impacto mais alargado, serão notificados os clientes através dos canais de resposta a incidentes existentes

Contexto de confirmação dos recentes incidentes de segurança da GitHub

De acordo com a cronologia recente confirmada pelo H2S Media:

Há três semanas: investigadores da Wiz divulgaram a CVE-2026-3854, uma vulnerabilidade grave de execução remota de código (RCE), que permite a qualquer utilizador autenticado executar comandos arbitrários no servidor backend da GitHub através de um único comando git push

Na semana passada: a base de código da GitHub da SailPoint foi comprometida devido a uma vulnerabilidade numa aplicação de terceiros

17 de maio de 2026: a Grafana Labs confirmou que tokens da GitHub foram comprometidos; o autor da ameaça obteve acesso aos repositórios e tentou extorquir

Perguntas frequentes

A presente intrusão afetou os repositórios públicos da GitHub ou os repositórios dos utilizadores?

De acordo com o comunicado oficial da GitHub, a exfiltração de dados “ficou estritamente limitada aos dados dos repositórios internos hospedados na GitHub”; neste momento, não há provas de que dados de clientes, empresas, organizações ou repositórios tenham sido afetados. Os sistemas orientados para clientes não foram afetados.

Qual é o vetor de entrada desta ofensiva e como prevenir?

De acordo com a confirmação da GitHub, o vetor de ataque foi uma extensão do VS Code com código malicioso embutido, o que se enquadra num ataque à cadeia de fornecimento dos programadores. O fundador da Binance, CZ, recomenda: “As chaves de API nos repositórios privados devem ser imediatamente revistas e substituídas.”

Quando é que a GitHub vai publicar o relatório completo do incidente?

De acordo com o comunicado oficial da GitHub, o relatório completo será publicado após a conclusão da investigação, mas a data específica ainda não foi anunciada.