การละเมิดซอร์สโค้ดของ GitHub - TeamPCP อ้างว่าเข้าถึงซอร์สโค้ดภายในได้

 (cybersecuritynews.com)
1 คะแนน โดย GN⁺ 1 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • TeamPCP อ้างว่าได้ขโมยข้อมูลองค์กรที่เป็นกรรมสิทธิ์และซอร์สโค้ดจากระบบภายในของ GitHub และกำลังนำไปขายในฟอรัมใต้ดิน
  • โพสต์ขายระบุว่าต้องการข้อเสนอ มากกว่า 50,000 ดอลลาร์ และอ้างว่ารวมรีโพซิทอรีส่วนตัวราว 4,000 รายการที่เชื่อมโยงกับแพลตฟอร์มหลักของ GitHub
  • TeamPCP เผยแพร่ภาพหน้าจอที่แสดงรายการไฟล์และชื่ออาร์ไคฟ์ของรีโพซิทอรี พร้อมระบุว่าจะให้ตัวอย่างแก่ผู้ซื้อที่จริงจัง
  • GitHub ยืนยันว่ากำลังตรวจสอบ การเข้าถึงรีโพซิทอรีภายในโดยไม่ได้รับอนุญาต แต่ระบุว่ายังไม่มีหลักฐานว่าลูกค้าแบบ enterprise, องค์กร หรือรีโพซิทอรีได้รับผลกระทบ
  • TeamPCP ถูกอธิบายว่าเป็นกลุ่มที่มีแรงจูงใจทางการเงินซึ่งติดตามในชื่อ UNC6780 และมีประวัติการใช้ข้อมูลรับรอง CI/CD และ access token ในทางมิชอบ

ข้ออ้างเรื่องการละเมิดและการตอบสนองของ GitHub

  • ผู้ไม่หวังดีที่ใช้ชื่อแฝงว่า TeamPCP อ้างว่าได้เจาะระบบภายในของ GitHub และทำข้อมูลองค์กรที่เป็นกรรมสิทธิ์กับซอร์สโค้ดรั่วไหล
  • ผู้โจมตีกำลังขายชุดข้อมูลที่ขโมยมาในฟอรัมอาชญากรรมไซเบอร์ใต้ดิน โดยต้องการข้อเสนอ มากกว่า 50,000 ดอลลาร์
  • ตามโพสต์ขาย ข้อมูลที่ถูกละเมิดรวมถึง รีโพซิทอรีส่วนตัวราว 4,000 รายการ ที่เชื่อมต่อโดยตรงกับแพลตฟอร์มหลักของ GitHub
  • TeamPCP นำเสนอภาพหน้าจอที่แสดงรายการไฟล์ที่เผยแพร่และชื่ออาร์ไคฟ์ของหลายรีโพซิทอรีเป็นหลักฐาน
  • ระบุว่าจะมอบตัวอย่างข้อมูลเพื่อใช้ยืนยันความถูกต้องให้แก่ผู้ซื้อที่จริงจัง
  • หลังจากข้ออ้างดังกล่าวแพร่กระจาย GitHub ยืนยันผ่าน X ว่ากำลังตรวจสอบ การเข้าถึงรีโพซิทอรีภายในโดยไม่ได้รับอนุญาต
  • ระบุว่าจนถึงขณะนี้ยังไม่มีหลักฐานว่าลูกค้าแบบ enterprise, องค์กร หรือรีโพซิทอรีของลูกค้าได้รับผลกระทบ
  • GitHub กำลังเฝ้าติดตามโครงสร้างพื้นฐานอย่างใกล้ชิดเพื่อตรวจสอบกิจกรรมต่อเนื่อง แต่ไม่ได้ยืนยันหรือปฏิเสธทั้งวิธีการเข้าถึงและข้ออ้างเรื่อง 4,000 รีโพซิทอรี
  • การสอบสวนยังคงดำเนินต่อไป และต่อมา GitHub ได้เผยแพร่อัปเดตหลังการตรวจสอบ

บริบทของกิจกรรม TeamPCP

  • TeamPCP ถูกอธิบายว่าเป็นกลุ่มภัยคุกคามที่มีแรงจูงใจทางการเงิน ซึ่ง Google Threat Intelligence Group ติดตามในชื่อ UNC6780
  • กลุ่มนี้เป็นที่รู้จักว่ามีประวัติการทำ supply chain attack ข้ามหลาย ecosystem
  • Trivy Vulnerability Scanner ถูกระบุว่าถูกใช้โจมตีผ่าน CVE-2026-33634 และนำไปสู่การละเมิดองค์กรมากกว่า 1,000 แห่ง รวมถึง Cisco
  • Checkmarx และ LiteLLM ตกเป็นเป้าของแคมเปญความเร็วสูงที่มุ่งขโมยข้อมูลรับรองภายใน CI/CD pipeline
  • ในกรณีที่เกี่ยวข้องกับ Shai-Hulud Malware TeamPCP ถูกอธิบายว่าใช้บัญชีที่ขโมยมาเพื่อนำซอร์สโค้ดมัลแวร์ Shai-Hulud ของตนเองไปปล่อยบน GitHub โดยตรง
  • TeamPCP ถูกระบุว่ามีรูปแบบการปฏิบัติการที่ใช้ ข้อมูลรับรอง CI/CD ที่ขโมยมาและ access token ที่มีสิทธิ์ ในทางมิชอบ เพื่อเคลื่อนที่ลึกเข้าไปในโครงสร้างพื้นฐานของเป้าหมาย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 1 시간 전
ความคิดเห็นจาก Lobste.rs

  • ควรจำไว้ว่า GitHub อยู่ในสภาพที่แทบจะ ดูซอร์สได้ มานานแล้ว

    1. ดาวน์โหลด QCOW2 จาก https://enterprise.github.com/releases แล้วเมานต์เข้ากับ Linux VM ที่ต้องการ
    2. ถอดการทำให้อ่านยากด้วย https://gist.github.com/iscgar/e8ea7560c9582e4615fcc439177e22b7 ได้เลย โดย GHES เวอร์ชันในช่วง 10 ปีหลังสุดให้เอา L33 ออก
      ใจดีพอสมควร เพราะแม้ GHES จะอิงกับ Nomad ก็ยังเอา Helm chart สำหรับ .com มาได้ด้วย
      นี่เป็นส่วนหนึ่งของเบื้องหลังที่ทำให้ Wiz ค้นพบ CVE-2026-3854 ได้

  • ทีมนี้มีส่วนเกี่ยวข้องกับการแฮ็กหลายครั้งในช่วงหลัง (Shai-Hulud, Trivy, LiteLLM, GitHub) และถ้าการรายงานเหตุการณ์เจาะระบบแบบนี้เข้ากับหัวข้อที่นี่ ก็น่าสนใจดี
    มีอารมณ์ความรู้สึกแบบที่ว่า “ที่นี่มีทั้งคนติดสารเสพติดที่กำลังฟื้นตัวและอดีตผู้ขาย/ดีลเลอร์อยู่เยอะ และอาชญากรรมไซเบอร์ก็ทำงานคล้ายการบำบัดในแบบประหลาด ๆ มันช่วยให้ห่างจากเหล้าหรือยา ทำให้ลืมสถานการณ์แย่ ๆ ไปชั่วคราว และทำให้ได้ใช้ความสามารถในสิ่งที่ตัวเองถนัดอย่างมีเป้าหมาย แม้จะไม่มีคุณสมบัติจะทำอย่างถูกกฎหมายก็ตาม” ซึ่งเห็นซ้ำ ๆ ในหมู่แฮ็กเกอร์
    ใน HackBack ของ Phineas Fisher ก็มีถ้อยคำคล้ายกันว่า “การแฮ็กทำให้รู้สึกว่าตัวเองยังมีชีวิตอยู่ และตอนแรกมันเป็นวิธีเยียวยาภาวะซึมเศร้าด้วยตัวเอง ต่อมาจึงตระหนักว่ามันสามารถใช้ทำเรื่องดี ๆ ได้” แม้ TeamPCP จะมีเป้าหมายต่างออกไป แต่ก็เป็นจุดร่วมที่น่าสนใจ

    • ส่วนที่ว่าไม่สามารถทำได้อย่างถูกกฎหมายนั้นโดนใจมาก ไม่ได้จะปกป้องการกระทำของพวกเขา แต่เป็นจุดที่เผยให้เห็น ความไร้ประสิทธิภาพอีกรูปแบบหนึ่ง ของระบบสังคมมนุษย์

  • มีการพูดถึง Xeet ในโพสต์นี้: https://lobste.rs/s/ges2gt/github_source_code_breach_teampcp_claims

  • สงสัยว่าทำไมสิ่งนี้ถึงเป็น เธรดบน Twitter แทนที่จะเป็นบล็อกโพสต์

    • จาก https://x.com/github/status/2056949173958906296 ระบุว่า “เมื่อการสืบสวนเสร็จสิ้น เราจะเผยแพร่รายงานที่ละเอียดกว่านี้”

  • ดูเหมือน nitter.net จะไม่ค่อยเสถียร มี อินสแตนซ์ nitter อื่นที่แสดงเธรดเดียวกัน

  • ข้อมูลเพิ่มเติมจาก Twitter: https://nitter.net/xploitrsturtle2/status/2056927898771067006

    • น่าเสียดาย แต่ Microsoft อาจเปิดเผยเรื่องนี้ได้เร็วที่สุดเท่าที่ระบบราชการภายในจะยอมให้ทำได้แล้ว
      น่าจะมีใครบางคนเลิกงานกลับบ้านไปพร้อมความภูมิใจในความเร็วที่ทำให้เรื่องนี้ผ่านการอนุมัติหลายชั้นของฝ่ายบริหารและการตรวจทานจากฝ่ายกฎหมายได้ และในตัวมันเอง นั่นอาจเป็นความสำเร็จที่ค่อนข้างใหญ่ภายใต้โครงสร้างองค์กรที่ซับซ้อน แต่ก็เพราะเหตุนี้เองที่ บริษัทขนาดใหญ่ ยากจะให้บริการลูกค้าได้ดีอย่างแท้จริง