Un hacker è entrato nei sistemi interni di GitHub convincendo un dipendente a installare un'estensione dannosa di VS Code. L'attaccante è riuscito a rubare codice da circa 3.800 repository interni di GitHub prima che l'azienda se ne accorgesse. GitHub afferma che nessun progetto cliente, organizzazione o account è stato compromesso, ma l'industria delle criptovalute sta prestando molta attenzione perché le stesse tecniche potrebbero essere usate contro exchange, fornitori di wallet e protocolli DeFi.
Come è avvenuta la violazione
GitHub ha scoperto l'intrusione quando un dipendente ha installato inconsapevolmente una versione dannosa di un'estensione di VS Code. L'azienda ha isolato il computer compromesso, rimosso l'estensione e ruotato le password critiche. L'indagine ha confermato che la rivendicazione dell'attaccante di aver rubato circa 3.800 repository corrisponde ai risultati interni. Un rapporto completo è ancora in sospeso.
Non è la prima volta che GitHub affronta incidenti di sicurezza interni, ma questo è uno dei più grandi per numero di repository. La violazione ricorda l'incidente di Vercel del 2026, la fuga di notizie di 3Commas del 2022 che ha esposto circa 100.000 chiavi API di utenti e un attacco alla supply chain su Bitwarden che ha rubato seed di wallet e token di sviluppatori.
L'avviso diretto di CZ
Changpeng Zhao, fondatore di Binance, non ha aspettato il rapporto ufficiale. Ha avvertito gli sviluppatori di controllare ogni progetto per chiavi API nascoste e di sostituirle immediatamente. Il suo consiglio: trattare anche i repository privati come compromessi. Nel mondo delle criptovalute, chiavi API esposte possono portare a conti di trading svuotati, accesso rubato ai wallet, strumenti di custodia compromessi o bot di exchange dirottati. Un repository privato non è al sicuro se l'attaccante è entrato nelle stesse mura di GitHub.
Perché gli sviluppatori crypto dovrebbero preoccuparsi
Gli sviluppatori lasciano di routine chiavi private, token API e segreti di build all'interno di codice, script o file di configurazione, dando per scontato che il repository sia al sicuro dietro il firewall aziendale. L'hack di GitHub mostra quanto questa ipotesi sia fragile. Se un attaccante può inserire un'estensione dannosa e sottrarre repository interni, qualsiasi organizzazione con chiavi preziose nel proprio codice è un bersaglio. In particolare, l'industria delle criptovalute si affida alle chiavi API per bot di exchange, algoritmi di trading e operazioni sui wallet; una fuga di dati potrebbe essere catastrofica.
Il tempismo non è dei migliori. Il settore è già in allerta dopo una serie di furti di credenziali e attacchi alla supply chain quest'anno. La risposta di GitHub – isolare la macchina, ruotare le password – è standard, ma la portata del furto significa che alcune chiavi potrebbero già essere in circolazione.
GitHub afferma che l'indagine continua e pubblicherà un rapporto dettagliato. Fino ad allora, gli sviluppatori devono controllare i propri codebase e sperare che l'attaccante non abbia trovato nulla di critico.
