TeamPCP rouba 3.800 repositórios internos do GitHub em cadeia de ataque originada no npm do TanStack

O GitHub confirmou em 20 de maio que um grupo criminoso identificado como TeamPCP, também rastreado como UNC6780, exfiltrou aproximadamente 3.800 dos seus repositórios internos após comprometer o dispositivo de um funcionário com uma versão adulterada da extensão Nx Console para o Visual Studio Code. A empresa declarou não ter encontrado evidências de comprometimento de repositórios de clientes, organizações ou dados externos à infraestrutura interna, mas acrescentou que a investigação segue em andamento.

O ataque é o quarto episódio documentado de uma campanha do TeamPCP contra a cadeia de suprimentos de software open source. Pesquisadores da Phoenix Security descrevem o grupo como especializado em utilitários de segurança open source e middleware de IA, com comprometimentos anteriores envolvendo o scanner Trivy da Aqua, o KICS da CheckMarx e a biblioteca LiteLLM.

A cadeia de comprometimento

O ponto de origem foi o ataque à cadeia de suprimentos npm do TanStack, detectado em 11 de maio de 2026. O TeamPCP explorou três técnicas combinadas: o padrão "Pwn Request" via pull_request_target do GitHub Actions, envenenamento de cache do Actions em fluxos de trabalho fork-to-base e extração de tokens OIDC do runner em tempo de execução. Entre 19h20 e 19h26 UTC do dia 11, o grupo publicou 84 versões maliciosas distribuídas em 42 pacotes do namespace @tanstack, usando a identidade OIDC legítima do pipeline de publicação do projeto. Os pacotes passaram nas verificações de proveniência SLSA e carregavam certificados assinados válidos, tornando-os indistinguíveis de versões legítimas para ferramentas que verificam assinaturas criptográficas.

O comprometimento se propagou para outros repositórios dependentes dentro de horas. Mistral AI, UiPath e mais de 160 pacotes adicionais em npm e PyPI foram afetados na sequência. Em 18 de maio, um desenvolvedor da equipe Nx instalou em seu dispositivo a versão 18.95.0 da extensão Nx Console, disponível no VS Code Marketplace por cerca de 11 a 18 minutos antes de ser removida. A extensão comprometida coletou o token de acesso ao GitHub do desenvolvedor e o transmitiu ao TeamPCP, abrindo acesso à infraestrutura interna do GitHub.

O que foi comprometido e o que não foi

O GitHub declarou que as reivindicações do TeamPCP de acesso a cerca de 3.800 repositórios são "consistentes com a direção" da própria investigação interna. O conteúdo desses repositórios é código-fonte interno da empresa, não dados de clientes. Segundo a empresa, não há evidências de comprometimento de informações de clientes armazenadas fora da infraestrutura interna da plataforma.

O TeamPCP anunciou o material furtado e, segundo pesquisadores de segurança, ofereceu o código por 50.000 dólares, ameaçando liberá-lo gratuitamente caso não houvesse compradores. Relatórios posteriores indicam contato do grupo com o LAPSUS$ para uma venda conjunta a 95.000 dólares. O GitHub informou que está rotacionando credenciais, isolando o endpoint comprometido e monitorando a infraestrutura em busca de atividade subsequente.

O que o incidente expõe para equipes de desenvolvimento corporativo

O ataque redefine o perímetro de risco para qualquer organização que dependa de extensões de IDE mantidas por comunidades open source. A versão maliciosa do Nx Console ficou ativa no VS Code Marketplace por no máximo 18 minutos, mas esse intervalo foi suficiente para comprometer o dispositivo de um engenheiro com acesso privilegiado aos repositórios internos de uma plataforma com mais de 100 milhões de desenvolvedores cadastrados.

Para equipes de segurança em consultoras de TI, o incidente torna obrigatórios dois controles que habitualmente ficam fora do escopo padrão: a verificação de integridade de extensões de IDE, categoria raramente incluída em políticas de gestão de endpoints corporativos, e o princípio de menor privilégio em tokens de acesso a sistemas de versionamento de código. Desenvolvedores com acesso a pipelines de CI/CD e a sistemas de publicação de pacotes representam um vetor de comprometimento de impacto comparável a administradores de sistemas de produção, mas frequentemente recebem tratamento distinto nas políticas de controle de acesso.

A conclusão da investigação do GitHub sobre o escopo completo do incidente determinará se o TeamPCP obteve acesso a chaves de assinatura de código, segredos de pipeline ou qualquer material que possa viabilizar ataques adicionais contra a cadeia de suprimentos upstream da plataforma, transformando o que hoje se confirma como um incidente interno em risco distribuído para toda a base de clientes do GitHub.