GitHub confirma invasão maliciosa em extensões do VS Code, cerca de 3.800 repositórios internos foram roubados

O GitHub publicou em 20 de maio, no X, uma atualização sobre a investigação de um incidente de segurança, confirmando que um invasor obteve acesso ao equipamento de um funcionário por meio de uma extensão do VS Code com código malicioso, o que levou ao roubo de cerca de 3.800 repositórios internos. O GitHub afirma que não há evidências de que informações de clientes armazenadas fora de repositórios de código internos do GitHub tenham sido afetadas. O GitHub removeu a extensão maliciosa, isolou os terminais afetados e fez a rotação das credenciais-chave.

Detalhes do incidente de segurança confirmados pelo GitHub

Conforme confirmado pela postagem oficial do GitHub no X:

Escopo afetado: cerca de 3.800 repositórios internos do GitHub (o atacante alegou um número que está basicamente alinhado aos resultados da investigação do GitHub)

Causa raiz: comprometimento do equipamento do funcionário

Vetor de ataque: extensão do VS Code com código malicioso (ataque à cadeia de suprimentos de desenvolvedores)

Impacto no cliente: o GitHub confirmou que a “exfiltração ficou estritamente limitada aos dados de repositórios de código internos do GitHub” e não encontrou evidências de impacto em dados de clientes, empresas, organizações ou repositórios

Confirmação sobre os agentes de ameaça

De acordo com a divulgação da Dark Web Informer (empresa de inteligência sobre ameaças): o agente de ameaça, identificado como TeamPCP, já havia publicado na dark web antes do anúncio do GitHub informações de produtos para venda de código-fonte interno e dados de organizações do GitHub. O H2S Media reportou que a organização por trás do TeamPCP e do malware do verme Shai-Hulud é a mesma; esse malware tem provocado infecções amplas recentemente em bibliotecas open source.

Medidas de resposta adotadas

Conforme confirmado em comunicado oficial do GitHub:

Concluído: remoção da extensão maliciosa do VS Code, isolamento dos terminais afetados e rotação prioritária das credenciais-chave com maior impacto (concluídas no dia e na noite em que o incidente foi identificado)

Em andamento: análise de logs, verificação da rotação das credenciais, monitoramento de atividades subsequentes e investigação abrangente da resposta ao incidente

Planejado: publicar um relatório completo após o encerramento da investigação; se forem encontradas implicações mais amplas, avisará os clientes pelos canais existentes de resposta a incidentes

Contexto de incidentes de segurança recentes confirmados pelo GitHub

Conforme a linha do tempo recente confirmada pelo H2S Media:

Há três semanas: pesquisadores da Wiz divulgaram a CVE-2026-3854, uma falha grave de execução remota de código (RCE) que permite que qualquer usuário autenticado execute comandos arbitrários no servidor backend do GitHub via um único comando git push

Na semana passada: o repositório de código do SailPoint no GitHub foi comprometido devido a uma vulnerabilidade em um aplicativo de terceiros

17 de maio de 2026: o Grafana Labs confirmou que tokens do GitHub foram comprometidos; agentes de ameaça obtiveram acesso aos repositórios e tentaram extorquir

Perguntas frequentes

Essa invasão afetou repositórios públicos do GitHub ou repositórios de usuários?

De acordo com o comunicado oficial do GitHub, a exfiltração “ficou estritamente limitada a dados de repositórios de código internos do GitHub” e, até o momento, não há evidência de que dados de clientes, empresas, organizações ou repositórios tenham sido afetados. Sistemas voltados a clientes não foram atingidos.

Qual foi o ponto de entrada deste ataque e como se proteger?

Conforme confirmado pelo GitHub, o vetor de ataque foi uma extensão do VS Code com código malicioso, caracterizando um ataque à cadeia de suprimentos de desenvolvedores. O fundador da Binance, CZ, recomendou: “As chaves de API em repositórios privados devem ser revisadas e substituídas imediatamente.”

Quando o GitHub publicará o relatório completo do incidente?

De acordo com o comunicado oficial do GitHub, o relatório completo será publicado após o encerramento da investigação, mas a data exata ainda não foi divulgada.