Bastano undici minuti. È tutto il tempo che ci è voluto perché un’estensione malevola per Visual Studio Code compromettesse un dipendente di GitHub e aprisse la porta a uno degli attacchi nel mondo della tecnologia più discussi del 2026. L’attacco supply chain a GitHub ha portato all’esfiltrazione di circa 3.800 repository interni, con il gruppo TeamPCP che ha rivendicato il colpo e messo in vendita il codice sorgente rubato a partire da 50.000 dollari.
ADS
Hai 60 secondi? Ascolta il riassunto audio.
La notizia è stata confermata ufficialmente da GitHub il 19 maggio 2026, con un comunicato che ha rassicurato gli utenti finali ma che ha sollevato interrogativi profondi sulla sicurezza dell’intera catena di sviluppo software.
Come è avvenuto l’attacco supply chain a GitHub
Il punto di partenza è un’estensione per Visual Studio Code: la Nx Console, strumento popolare tra gli sviluppatori che lavorano con il framework Nx. Il 18 maggio 2026 sul marketplace ufficiale di VS Code viene pubblicata una versione compromessa dell’estensione, contenente codice malevolo nascosto al suo interno.
L’estensione rimane online per soli 11-18 minuti prima di essere individuata e rimossa dal team di Nx. Un intervallo brevissimo, ma sufficiente. Nel giro di pochi minuti il payload scarica automaticamente codice aggiuntivo da un commit ospitato sul repository originale e inizia a raccogliere credenziali dai dispositivi infetti: 1Password, GitHub CLI, npm e servizi cloud sono tra i bersagli colpiti.
ADS
Un dipendente di GitHub installa l’estensione compromessa. Le sue credenziali vengono rubate. Da quel momento gli attaccanti hanno accesso ai workflow interni dell’azienda e possono muoversi liberamente tra i repository privati. Il risultato finale: 3.800 repository interni esfiltrati.
Chi c’è dietro: il gruppo TeamPCP
L’attacco supply chain a GitHub porta la firma del gruppo TeamPCP, già noto agli esperti di sicurezza per una serie di attacchi simili avvenuti sempre nel 2026. Nel mirino, prima di GitHub, erano finiti Trivy, Checkmarx, Bitwarden CLI e TanStack. Tutti colpiti con lo stesso metodo: strumenti di sviluppo compromessi, credenziali rubate, accesso ai sistemi interni.
Sul forum Breached, TeamPCP ha messo in vendita il codice sorgente interno di GitHub e circa 4.000 repository privati. Il tono della rivendicazione è quasi beffardo: gli hacker hanno chiarito di non essere interessati a estorcere denaro all’azienda.
GitHub ha confermato che le affermazioni del gruppo sulla compromissione di 3.800 repository sono “coerenti” con i risultati della propria indagine interna.
I dati degli utenti sono al sicuro?
Questa è la domanda che in molti si sono posti. La risposta ufficiale di GitHub è rassicurante: al momento non emergono evidenze di compromissione dei repository pubblici o dei dati degli utenti enterprise. L’attacco supply chain a GitHubha colpito esclusivamente i repository privati interni dell’azienda, usati per sviluppo operativo, collaborazione e archiviazione di codice aziendale sensibile.
ADS
Il messaggio tranquillizzante però non cancella la portata dell’episodio. Come ha sottolineato Mackenzie Jackson di Aikido Security, la maggior parte dei team di sicurezza non ha alcuna visibilità sulle estensioni installate sui computer dei propri sviluppatori, né su quando sono state pubblicate o aggiornate.
La risposta di GitHub
L’azienda ha reagito rapidamente. L’estensione malevola è stata rimossa dal marketplace, il dispositivo del dipendente compromesso è stato isolato e GitHub ha avviato una rotazione massiva delle credenziali critiche, partendo da quelle considerate più sensibili. Sono stati analizzati i log interni e attivato un monitoraggio continuo per individuare eventuali movimenti sospetti.
GitHub ha promesso la pubblicazione di un report tecnico dettagliato nelle prossime settimane. L’indagine è ancora aperta.
Perché ti dovrebbe interessare?
Perché l’attacco supply chain a GitHub non riguarda solo gli sviluppatori professionisti. Riguarda chiunque usi software, app o servizi costruiti su codice ospitato su quella piattaforma, che sono praticamente tutti. La lezione è chiara: non serve bucare i sistemi di produzione se puoi colpire chi li costruisce. Un’estensione sbagliata, installata per undici minuti, ha messo in ginocchio una delle infrastrutture digitali più usate al mondo. Il problema non è solo VS Code: è l’intero ecosistema di plugin, dipendenze e strumenti di sviluppo che oggi rappresenta la superficie di attacco più esposta.
ADS
Commento all'articolo