GitHub bekräftade den 20 maj 2026 att hackergruppen TeamPCP, även känd som UNC6780, lyckades ta sig in i företagets interna system och stjäla källkod från cirka 3 800 interna kodarkiv. Intrånget upptäcktes den 19 maj.

Så gick attacken till

Angriparna komprometterade en företagsenhet tillhörande en av GitHubs utvecklare. Ingångspunkten var ett skadligt tillägg till Microsoft Visual Studio Code, ett av de mest använda verktygen för mjukvaruutveckling. Via den komprometterade enheten fick angriparna tillgång till GitHubs interna nätverk och kunde hämta ut ett stort antal privata kodarkiv.

GitHub har isolerat den drabbade enheten, tagit bort det skadliga VS Code-tillägget och roterat känsliga inloggningsuppgifter och kryptografiska nycklar för att stänga ute angriparna.

TeamPCP säljer stulen kod

TeamPCP är en ekonomiskt motiverad cyberkriminell grupp som spåras av Google Threat Intelligence. Gruppen har lagt ut GitHubs stulna källkod och interna organisationsdata till försäljning på ett cyberkriminellt forum med ett utgångspris på över 95 000 dollar. Gruppen varnar att om ingen enskild köpare dyker upp kommer de att läcka filerna offentligt.

Det är femte gången i år som TeamPCP lyckas angripa ett framstående företag. Tidigare offer inkluderar Checkmarx, Bitwarden CLI och TanStack.

Lärdomar för IT-ansvariga

Attacken visar hur ett enda komprometterat tillägg i en utvecklares verktygskedja kan ge angripare tillgång till hela organisationens kodbas. Företag bör granska vilka tillägg och verktyg som är installerade på utvecklarenheter, begränsa behörigheter för tredjepartstillägg och ha rutiner för snabb isolering och rotering av nycklar vid misstänkt intrång.