Laut GitHub erfolgte der Einbruch, nachdem das Gerät eines Mitarbeiters über eine bösartige Erweiterung für den Editor VS Code kompromittiert worden war. Das Unternehmen betonte, der Vorfall sei „erkannt und eingedämmt" worden und habe sich auf interne Repositories beschränkt, nicht auf Kundendaten.
Kritische Zugangsdaten seien noch am Tag der Entdeckung ausgetauscht worden, wobei die sensibelsten Geheimnisse zuerst behandelt wurden. Die Behauptung der Angreifer, rund 3.800 Repositories entwendet zu haben, sei mit den eigenen Erkenntnissen zum Ausmaß des Einbruchs „in der Tendenz übereinstimmend", erklärte das Unternehmen. Einen ausführlicheren Bericht will GitHub nach Abschluss der Untersuchung veröffentlichen.
Öffentlich wurde der Vorfall, nachdem TeamPCP den gestohlenen Quellcode in einem Cybercrime-Forum zum Kauf angeboten hatte. Die Gruppe verlangte 50.000 US-Dollar und kündigte an, den Code andernfalls kostenlos zu veröffentlichen. GitHub bestätigte den Einbruch daraufhin in sozialen Medien.
TeamPCP gilt als aktive cyberkriminelle Bande, die seit März eine kaskadenartige Reihe von Angriffen auf Lieferketten durchgeführt hat. Im Visier standen dabei häufig Entwicklerwerkzeuge, darunter TanStack, Trivy und LiteLLM. Zu den nachgelagerten Opfern dieser Angriffe zählte unter anderem die Europäische Kommission.
