GitHubソースコード侵害 - TeamPCPが内部ソースコードへのアクセスを主張

• TeamPCPがGitHub内部システムから独自の組織データとソースコードを持ち出したと主張し、地下フォーラムで販売中
• 販売投稿では5万ドル超のオファーを求めており、GitHubメインプラットフォームに接続された約4,000件の非公開リポジトリを含むと主張
• TeamPCPは、ファイル一覧とリポジトリアーカイブ名が表示されたスクリーンショットを公開し、本気の購入者にはサンプルを提供すると表明
• GitHubは内部リポジトリへの不正アクセスを調査中だと確認したが、顧客のエンタープライズ、組織、リポジトリへの影響を示す証拠はないと説明
• TeamPCPはUNC6780として追跡されている金銭目的のグループとされ、CI/CD認証情報やアクセストークンを悪用してきた履歴がある

侵害の主張とGitHubの対応

• TeamPCPという別名の脅威アクターが、GitHub内部システムを侵害して独自の組織データとソースコードを流出させたと主張
• 攻撃者は盗んだデータセットを地下のサイバー犯罪フォーラムで販売しており、5万ドル超のオファーを要求
• 販売投稿によれば、侵害データにはGitHubメインプラットフォームと直接つながる約4,000件の非公開リポジトリが含まれる
• TeamPCPは、公開ファイル一覧と複数のリポジトリアーカイブ名が表示されたスクリーンショットを証拠として提示
• 本気の購入者には、真偽確認用のデータサンプルを提供すると表明
• GitHubは、これらの主張の拡散後、内部リポジトリに対する不正アクセスを調査しているとXで確認
• 現時点で、顧客のエンタープライズ、組織、リポジトリが影響を受けた証拠はないと説明
• GitHubは後続の活動を確認するためインフラを綿密に監視しており、アクセス手法や4,000件のリポジトリという主張については確認も否定もしていない
• 調査は継続中であり、その後GitHubは調査後の更新を公開した

TeamPCPの活動の文脈

• TeamPCPは、Google Threat Intelligence GroupがUNC6780として追跡している金銭目的の脅威グループとして紹介されている
• このグループは、複数のエコシステムにまたがるサプライチェーン攻撃の履歴があることで知られる
• Trivy Vulnerability ScannerはCVE-2026-33634を通じて悪用され、Ciscoを含む1,000以上の組織の侵害につながったとされる
• CheckmarxとLiteLLMは、CI/CDパイプライン内の認証情報窃取を狙う高速キャンペーンの標的となった
• Shai-Hulud Malwareに関連して、TeamPCPは盗んだアカウントを使い、自らのShai-HuludマルウェアのソースコードをGitHubに直接流出させたと紹介されている
• TeamPCPは、盗んだCI/CD認証情報と権限付きアクセストークンを悪用し、標的インフラ内部へさらに深く移動する運用パターンを持つとされる