犯罪者兜售GitHub的四千個(gè)內(nèi)部源代碼倉(cāng)庫(kù)

一個(gè)犯罪團(tuán)伙剛剛以五萬(wàn)美元的價(jià)格在市場(chǎng)上列出了GitHub的四千個(gè)內(nèi)部源代碼倉(cāng)庫(kù)。每倉(cāng)庫(kù)十二美元五十分。GitHub是每個(gè)超大規(guī)模云服務(wù)商用來(lái)交付運(yùn)行在價(jià)值七百二十五億美元的AI基礎(chǔ)設(shè)施周期上的軟件的平臺(tái)，而這個(gè)周期迄今為止僅產(chǎn)生了0.29%的可衡量生產(chǎn)力提升。基底正在被拍賣(mài)。大廈仍在建造中

TeamPCP，這個(gè)自二月起被Palo Alto Unit42、Wiz和Google的威脅情報(bào)團(tuán)隊(duì)追蹤的財(cái)務(wù)動(dòng)機(jī)網(wǎng)絡(luò)犯罪團(tuán)伙，于5月19日在一個(gè)名為HackRisk.io的地下論壇上發(fā)布了該報(bào)價(jià)。GitHub次日上午確認(rèn)，已通過(guò)設(shè)備隔離和密鑰輪換識(shí)別并遏制了漏洞，并未發(fā)現(xiàn)對(duì)客戶(hù)數(shù)據(jù)、用戶(hù)倉(cāng)庫(kù)或企業(yè)賬戶(hù)的影響。GitHub自身的取證評(píng)估將內(nèi)部倉(cāng)庫(kù)數(shù)量定為大約三千八百個(gè)，而不是賣(mài)家列出的四千個(gè)

TeamPCP并未直接攻破GitHub。2026 年3月該團(tuán)伙對(duì)Trivy的七十七個(gè)版本標(biāo)簽中的七十六個(gè)強(qiáng)制推送了惡意代碼。 Trivy是由Aqua Security發(fā)布的廣泛部署的開(kāi)源容器漏洞掃描器，并在數(shù)千家公司的CI/CD管道中運(yùn)行。Trivy在這些管道中運(yùn)行，并將環(huán)境變量、云令牌和SSH密鑰上傳到假冒域名，并使用一個(gè)名為tpcp-docs的公共GitHub倉(cāng)庫(kù)作為備用信道和死信箱。幾周內(nèi)該團(tuán)伙入侵了 Checkmarx KICS GitHub Action，并攻破了Aqua Security 自身的內(nèi)部組織。本應(yīng)掃描漏洞的工具本身就是漏洞。僅 Cisco就有超過(guò)三百個(gè)私有倉(cāng)庫(kù)被下游克隆。5月通過(guò)OpenVSX市場(chǎng)分發(fā)的惡意Visual Studio Code 擴(kuò)展落入一名GitHub員工的機(jī)器上。兩個(gè)月的收獲憑證與平臺(tái)內(nèi)部的一個(gè)開(kāi)發(fā)工具相遇

Palo Alto Unit42、Wiz、SANS、Trend Micro和Google均將TeamPCP分類(lèi)為講 英語(yǔ)的財(cái)務(wù)動(dòng)機(jī)犯罪分子，可能在東非運(yùn)作。Google自5月11日起以UNC6780的名稱(chēng)追蹤該團(tuán)伙，比公開(kāi)上市早八天。2020年的SolarWinds需要大鵝國(guó)家資源來(lái)完成類(lèi)似的供應(yīng)鏈入侵。2026年的TeamPCP則將其作為副業(yè)來(lái)做。標(biāo)價(jià)相當(dāng)于英偉達(dá)預(yù)期季度收入的三十秒。誰(shuí)買(mǎi)下它，誰(shuí)就繼承了一張所有主要公司構(gòu)建和部署軟件的地圖，加上源代碼檢查時(shí)揭示的任何憑證和未公開(kāi)漏洞

GitHub由Microsoft擁有。托管OpenAl 訓(xùn)練基礎(chǔ)設(shè)施、Anthropic研究代碼庫(kù)以 及每個(gè)投入AI資本支出的超大規(guī)模云服 務(wù)商部署管道的倉(cāng)庫(kù)，都坐落在一個(gè)其內(nèi)部源代碼如今在地下市場(chǎng)流通的平臺(tái)上。Andrej Karpathy昨天加入Anthropic， 組建團(tuán)隊(duì)使用Claude加速下一個(gè)Claude 的預(yù)訓(xùn)練

輪換2026年中觸及任何CI/CD管道的每 個(gè)憑證。AI建設(shè)正在進(jìn)行的平臺(tái)正悄然處于緊急狀態(tài)。其中尚未體現(xiàn)在股價(jià)上