GitHub, TeamPCP가 주장한 내부 리포지토리 침해 조사

Source: Bleeping Computer

침해 조사

GitHub은 TeamPCP 해커 그룹이 약 4,000개의 사설 코드를 포함한 저장소에 접근했다고 주장한 이후 내부 저장소 침해를 조사하고 있습니다.

GitHub의 클라우드 기반 개발 플랫폼은 4백만 개가 넘는 조직(포춘 100대 기업의 90% 포함)과 1억 8천만 명이 넘는 개발자가 사용하고 있으며, 4억 2천만 개가 넘는 코드 저장소에 기여하고 있습니다.

회사는 조사에 대한 자세한 내용을 많이 공개하지 않았지만, 현재 내부 저장소 외부에 저장된 고객 데이터가 영향을 받았다는 증거는 없다고 밝혔습니다.

“우리는 GitHub 내부 저장소에 대한 무단 접근을 조사하고 있습니다.”라고 GitHub은 BleepingComputer에 추가 세부 정보를 요청받았을 때 답했습니다.
“현재 GitHub 내부 저장소 외부에 저장된 고객 정보(예: 고객 기업, 조직 및 저장소)에 대한 영향을 나타내는 증거는 없지만, 후속 활동에 대비해 인프라를 면밀히 모니터링하고 있습니다.”

GitHub은 또한 영향을 받은 고객이 있다면, 증거가 발견되는 즉시 기존 알림 및 사고 대응 채널을 통해 통보할 것이라고 밝혔습니다.

TeamPCP 요구

TeamPCP는 화요일에 Breached 해킹 포럼에서 “GitHub의 소스 코드와 내부 조직”에 대한 접근 권한을 주장하며 최소 $50,000을 요구했습니다.

“저가 제안은 받아들이지 않으며, 메인 플랫폼에 필요한 모든 것이 여기 있습니다. 절대적인 진위 여부를 확인할 수 있도록 관심 있는 구매자에게 샘플을 보내드릴 의향이 있습니다. 여기에는 약 ~4,000개의 사유 코드 저장소가 포함되어 있습니다.”
“항상 그렇듯 이것은 몸값이 아니라, GitHub을 협박하려는 것이 아닙니다. 구매자 한 명만 있으면 우리 쪽에서 데이터를 파기할 것입니다. 은퇴가 곧 다가오는 것 같아 구매자가 없으면 무료로 유출할 예정입니다. 관심이 있으시면 아래 연락처로 제안을 보내 주세요. 50k 이하 제안은 받지 않으며, 가장 좋은 제안이 승리합니다.”

TeamPCP의 이전 활동

TeamPCP는 이전에 여러 개발자 플랫폼을 대상으로 하는 공급망 공격과 연결되었습니다:

• GitHub – BleepingComputer article
• PyPI – Backdoored Telnyx PyPI package pushes malware hidden in WAV audio
• NPM – TeamPCP deploys Iran‑targeted wiper in Kubernetes attacks
• Docker – Trivy supply‑chain attack spreads to Docker GitHub repos

3월에, 이 그룹은 Aqua Security의 Trivy 취약점 스캐너를 손상시켜 연쇄적인 침해를 일으켰으며, 이는 다음에 영향을 미쳤습니다:

• Aqua Security Docker 이미지 – BleepingComputer article
• Checkmarx KICS 프로젝트 – Sysdig blog

Trivy 침해는 LiteLLM 오픈소스 Python 라이브러리에도 영향을 미쳐 수만 대의 장치를 “TeamPCP Cloud Stealer” 정보 탈취 악성코드에 감염시켰습니다 – BleepingComputer coverage.

최근에는 이 조직이 “Mini Shai‑Hulud” 공급망 캠페인(두 명의 OpenAI 직원에게 영향을 미침)과 연결되었으며 – BleepingComputer article – 그리고 손상된 CI/CD 자격 증명을 통해 탈취한 Mistral AI 소스 코드를 유출하겠다고 위협했습니다 – BleepingComputer article.