GitHub bevestigde dat het was gehackt, wat resulteerde in de diefstal van gegevens uit ongeveer 3.800 interne codeopslagplaatsen. Het platform verklaarde dat er “geen bewijs is van impact op klantinformatie die buiten de interne opslagplaatsen van GitHub is opgeslagen”, terwijl het opmerkte dat het onderzoek nog gaande is.
We are investigating unauthorized access to GitHub’s internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub’s internal repositories (such as our customers’ enterprises, organizations, and repositories), we are closely…
— GitHub (@github) May 19, 2026
De inbreuk kwam voort uit een gecompromitteerd werknemersapparaat dat was gekoppeld aan een vergiftigde VS Code-extensie, meldde GitHub. Deze extensie, een plug-in voor Visual Studio Code, vergemakkelijkt programmeertaken voor ontwikkelaars. Hackers richten zich steeds vaker op open-sourceprojecten en codeerextensies om de computers van ontwikkelaars binnen te dringen, waardoor ze tegelijkertijd toegang krijgen tot meerdere systemen.
GitHub heeft de naam van de gecompromitteerde extensie niet bekendgemaakt. Rapporten van The Record en Bleeping Computer gaven aan dat een hackgroep met de naam TeamPCP heeft geclaimd verantwoordelijkheid voor de inbreuk en probeert de gestolen gegevens op een cybercriminaliteitsforum te verkopen.
Het bedrijf reageerde niet onmiddellijk op vragen of het losgeld van de aanvallers had ontvangen. TeamPCP eiste eerder de eer op voor een datalek bij de Europese Commissie, dat resulteerde in de diefstal van meer dan 90 gigabyte aan gevoelige gegevens uit de cloudopslagsystemen van de EU. Ze hebben de cloudsleutel van de Europese Commissie verkregen bij een afzonderlijke inbreuk waarbij Trivy, een tool voor het scannen van kwetsbaarheden, betrokken was door het inzetten van malware voor het stelen van informatie.
