GitHub kaynak kodu ihlali - TeamPCP dahili kaynak koduna eriştiğini iddia ediyor
(cybersecuritynews.com)- TeamPCP, GitHub dahili sistemlerinden özel kurumsal veriler ve kaynak kodunu ele geçirdiğini iddia ediyor ve bunları yeraltı forumlarında satışa çıkardığını söylüyor
- Satış ilanı, 50 bin doların üzerinde teklif istiyor ve GitHub ana platformuna bağlı yaklaşık 4.000 özel depoyu içerdiğini öne sürüyor
- TeamPCP, dosya listeleri ve depo arşiv adlarının görüldüğü ekran görüntüleri yayımladı ve ciddi alıcılara örnek sağlayacağını belirtti
- GitHub, dahili depolara yetkisiz erişim iddiasını araştırdığını doğruladı, ancak müşteri enterprise, organizasyon veya depolarının etkilendiğine dair kanıt olmadığını söyledi
- TeamPCP, UNC6780 olarak izlenen finansal motivasyonlu bir grup olarak tanımlanıyor ve CI/CD kimlik bilgileri ile erişim tokenlarını kötüye kullanma geçmişine sahip
İhlal iddiası ve GitHub'un yanıtı
- TeamPCP takma adlı tehdit aktörü, GitHub dahili sistemlerini ihlal ederek özel kurumsal veriler ve kaynak kodunu sızdırdığını iddia ediyor
- Saldırgan, çalınan veri setini yeraltı siber suç forumlarında satışa çıkardı ve 50 bin doların üzerinde teklif talep ediyor
- Satış gönderisine göre ihlal edilen veriler, GitHub ana platformuna doğrudan bağlı yaklaşık 4.000 özel depo içeriyor
- TeamPCP, herkese açık dosya listeleri ve çeşitli depo arşiv adlarını gösteren ekran görüntülerini kanıt olarak sundu
- Ciddi alıcılara doğrulama amacıyla veri örnekleri sağlayacağını söyledi
- GitHub, iddiaların yayılmasının ardından dahili depolara yetkisiz erişimi araştırdığını X üzerinden doğruladı
- Şu ana kadar müşterilerin enterprise, organizasyon veya depolarının etkilendiğine dair bir kanıt bulunmadığını belirtti
- GitHub, sonraki faaliyetleri tespit etmek için altyapısını yakından izliyor; erişim yöntemi ve 4.000 depo iddiası konusunda ise ne doğrulama ne de yalanlama yapıyor
- Soruşturma sürüyor ve daha sonra GitHub inceleme sonrasında bir güncelleme yayımladı
TeamPCP faaliyetlerinin bağlamı
- TeamPCP, Google Threat Intelligence Group tarafından UNC6780 olarak izlenen finansal motivasyonlu bir tehdit grubu olarak tanıtılıyor
- Bu grubun, birden fazla ekosistemi kapsayan tedarik zinciri saldırıları geçmişine sahip olduğu biliniyor
- Trivy Vulnerability Scanner, CVE-2026-33634 üzerinden istismar edildi ve bunun Cisco dahil 1.000'den fazla kuruluşun ihlaline yol açtığı belirtiliyor
- Checkmarx ve LiteLLM, CI/CD hatları içindeki kimlik bilgilerini çalmayı hedefleyen hızlı kampanyaların hedefi oldu
- Shai-Hulud Malware ile bağlantılı olarak, TeamPCP'nin ele geçirilmiş hesapları kullanarak kendi Shai-Hulud kötü amaçlı yazılım kaynak kodunu doğrudan GitHub'a sızdırdığı aktarılıyor
- TeamPCP'nin, çalınmış CI/CD kimlik bilgilerini ve ayrıcalıklı erişim tokenlarını kötüye kullanarak hedef altyapı içinde daha derine ilerleyen bir operasyon modeline sahip olduğu belirtiliyor
1 yorum
Lobste.rs görüşleri
GitHub'un uzun zamandır fiilen kaynak kodu görüntülenebilir durumda olduğunu hatırlamakta fayda var
Oldukça cömert davranıp, GHES Nomad tabanlı olmasına rağmen .com için Helm chart'larını bile veriyorlar
Wiz'in CVE-2026-3854'ü bulabilmesinin arka planındaki etkenlerden biri de buydu
Bu ekibin son dönemde çeşitli hack olaylarında (Shai-Hulud, Trivy, LiteLLM, GitHub) yer aldığı görülüyor ve bu tür ihlal haberleri burada konuya uygunsa ilginç olabilir
“Burada iyileşme sürecindeki bağımlılar ile eski satıcılar/dealer'lar çok; siber suç da tuhaf bir terapi gibi işliyor. İnsanları alkol ya da uyuşturucudan uzak tutuyor, kötü koşulları bir süreliğine unutturuyor ve yasal olarak yapma şansları olmayan ama iyi oldukları bir işi amaç duygusuyla yapmalarını sağlıyor” türü bir duygu, hacker'lar arasında tekrar tekrar karşımıza çıkıyor
Phineas Fisher'ın HackBack metninde de “Hack yapmak bana hayatta olduğumu hissettiriyordu ve başlangıçta depresyonumu kendi kendime tedavi etme yoluydu. Sonra bununla olumlu şeyler yapabileceğimi fark ettim” şeklinde benzer bir ifade geçiyor. TeamPCP'nin hedefleri farklı olsa da ilginç bir ortak nokta
Bu gönderide Xeet'ten bahsediliyor: https://lobste.rs/s/ges2gt/github_source_code_breach_teampcp_claims
Bunun neden bir blog yazısı değil de Twitter thread olduğunu merak ediyorum
nitter.net kararsız görünüyor. Aynı thread'i gösteren başka bir nitter instance'ı var
Twitter'dan ek bilgi: https://nitter.net/xploitrsturtle2/status/2056927898771067006
Birileri muhtemelen birden fazla yönetim katmanını ve hukuk incelemesini aşan bu hızla gurur duyarak mesaisini bitirmiştir; bu da kendi başına, karmaşık bir organizasyon yapısı içinde oldukça büyük bir başarı sayılabilir. Ama tam da bu nedenle büyük şirketler müşterilere gerçekten iyi hizmet vermekte zorlanıyor