GitHub 소스 코드 침해 - TeamPCP가 내부 소스 코드 접근을 주장

• TeamPCP가 GitHub 내부 시스템에서 독점 조직 데이터와 소스 코드를 빼냈다고 주장하며 지하 포럼에서 판매 중임
• 판매 게시물은 5만 달러 초과 제안을 요구하고, GitHub 메인 플랫폼과 연결된 약 4,000개 비공개 저장소를 포함한다고 주장함
• TeamPCP는 파일 목록과 저장소 아카이브 이름이 보이는 스크린샷을 공개하고, 진지한 구매자에게 샘플을 제공하겠다고 밝힘
• GitHub는 내부 저장소 무단 접근을 조사 중이라고 확인했지만, 고객 엔터프라이즈·조직·저장소 영향 증거는 없다고 밝힘
• TeamPCP는 UNC6780으로 추적되는 재정적 동기 그룹으로 소개되며, CI/CD 자격 증명과 접근 토큰 악용 이력이 있음

침해 주장과 GitHub 대응

• TeamPCP라는 별칭의 위협 행위자가 GitHub 내부 시스템을 침해해 독점 조직 데이터와 소스 코드를 유출했다고 주장함
• 공격자는 훔친 데이터셋을 지하 사이버범죄 포럼에서 판매 중이며, 5만 달러 초과 제안을 요구함
• 판매 게시물 기준 침해 데이터에는 GitHub 메인 플랫폼과 직접 연결된 약 4,000개 비공개 저장소가 포함됨
• TeamPCP는 공개 파일 목록과 여러 저장소 아카이브 이름이 표시된 스크린샷을 증거로 제시함
• 진지한 구매자에게는 진위 확인용 데이터 샘플을 제공하겠다고 밝힘
• GitHub는 해당 주장 확산 이후 내부 저장소에 대한 무단 접근을 조사하고 있다고 X를 통해 확인함
• 현재까지 고객의 엔터프라이즈, 조직, 저장소가 영향받았다는 증거는 없다고 밝힘
• GitHub는 후속 활동을 확인하기 위해 인프라를 면밀히 모니터링하고 있으며, 접근 방식과 4,000개 저장소 주장에 대해서는 확인하거나 부인하지 않음
• 조사는 계속 진행 중이며, 이후 GitHub가 조사 후 업데이트를 냈음

TeamPCP의 활동 맥락

• TeamPCP는 Google Threat Intelligence Group이 UNC6780으로 추적하는 재정적 동기의 위협 그룹으로 소개됨
• 이 그룹은 여러 생태계를 가로지르는 공급망 공격 이력이 있는 것으로 알려짐
• Trivy Vulnerability Scanner는 CVE-2026-33634를 통해 악용됐고, Cisco를 포함한 1,000개 이상의 조직 침해로 이어졌다고 제시됨
• Checkmarx와 LiteLLM은 CI/CD 파이프라인 내 자격 증명 탈취를 노린 고속 캠페인의 표적이 됨
• Shai-Hulud Malware와 관련해, TeamPCP는 탈취한 계정을 사용해 자체 Shai-Hulud 악성코드 소스 코드를 GitHub에 직접 유출한 것으로 소개됨
• TeamPCP는 탈취한 CI/CD 자격 증명과 권한 있는 접근 토큰을 악용해 대상 인프라 내부로 더 깊이 이동하는 운영 패턴을 가진 것으로 제시됨