GitHub je 20. svibnja 2026. potvrdio ono što je hakerska skupina TeamPCP objavila dan ranije na darkweb forumu Breached: pristupili su otprilike 3.800 internih repozitorija platforme i iz njih izvukli izvorni kod i interne datoteke.

Istraga je u tijeku, ali osnovno je poznato. Ulazna točka bio je jedan zaposlenik i zaražena ekstenzija za Visual Studio Code. GitHub je uklonio zaraženu ekstenziju, izolirao uređaj zaposlenika i odmah pokrenuo istragu. Sve to zvuči PR-ovski uredno i profesionalno, ali ono što ne zvuči dobro jest kako je moguće da je jedna ekstenzija bila dovoljna da napadači uđu u infrastrukturu platforme na kojoj živi kod pola programerskog planeta.

Tko je TeamPCP?

TeamPCP, poznata i pod oznakom UNC6780, prethodno je kompromitirala Aquin Trivy security scanner, CheckMarxov KICS, LiteLLM biblioteku, Telnyx SDK, TanStack i MistralAI. Povezuje ih se i s napadima na PyPI, NPM i Docker, kao i s kampanjom koja je pogodila dvoje zaposlenika OpenAI. Ne izmišljaju puno kako ući, napadaju alate koje programeri koriste svaki dan, ne sustave koje IT čuva kao Alibabinu pećinu. Napad automatiziraju malwareom koji se širi kroz zaražene razvojne pakete.

Na forumu Breached, TeamPCP ponudio je ukradene podatke za minimalno 50.000 dolara. Uz ponudu su napisali da ovo nije otkupnina, da ne namjeravaju ucjenjivati GitHub,  nego da traže jednog kupca i da će, ako se kupac ne nađe, podatke objaviti besplatno. Ubrzo se pojavila ponuda od 95.000 dolara.

GitHub je demantirao, kako se i očekivalo: nema dokaza da su podaci korisnika pohranjeni izvan internih repozitorija bili ugroženi, a ključne pristupne lozinke i tokeni zamijenjeni su isti dan kad je napad otkriven.

Teški tjedni za GitHub

Ovaj incident nije jedini koji je pogodio GitHub u posljednje vrijeme. Tri tjedna ranije, istraživači iz Wiza objavili su CVE-2026-3854, kritičnu ranjivost koja je potencijalno izložila milijune repozitorija. Ranjivost je bila dovoljno jednostavna da je svaki autentificirani korisnik mogao izvršiti proizvoljne naredbe na GitHubovim backend serverima jednom standardnom git push komandom. Wiz je ranjivost prijavio, GitHub je zakrpao za manje od dva sata i nema dokaza o zlouporabi. Tjedan dana prije ovog upada, Grafana Labs potvrdila je krađu GitHub tokena u pokušaju iznude.

Kronologija koja bi trebala brinuti

GitHub nije novajlija u sigurnosnim incidentima. U prosincu 2022. kompromitiranim Personal Access Tokenom napadač je klonirao repozitorije vezane uz Atom i GitHub Desktop te ukrao šifrirane certifikate za potpisivanje koda. Iste godine ukraden je Heroku OAuth token iz GitHubove npm infrastrukture, Dropbox je izgubio 130 privatnih repozitorija kroz phishing koji je imitirao CircleCI, a Okta je prijavila krađu izvornog koda.

Godinu dana kasnije, 2023., GitGuardian je u javnim repozitorijima pronašao 12,8 milijuna slučajno izloženih autentifikacijskih tajni i ključeva, i to samo od strane korisnika, bez ijednog napadača. Vrhunac je stigao 2025., kada je napadač putem Salesloftovog GitHub okruženja, u koje je imao pristup od ožujka do lipnja, preuzimao sadržaj repozitorija, dodavao korisnike i postavljao automatizirane procese unutar sustava, sve dok to nije otkriveno u kolovozu. Istraga koju je proveo Googleov sigurnosni tim Mandiant pokazala je da je napad u konačnici pogodio više od 700 tvrtki.

Preveliki da bi bili ranjivi, preveliki da bi se zamijenili

Zašto se treba brinuti oko GitHuba i svih tih provala? Pa to je samo jedno skladište kôdova! I to kakvo, brojke sve govore: GitHub u 2026. koristilo je više od 180 milijuna programera, broji 630 milijuna repozitorija i 1,128 milijardi javnih prijava, izmjena i nadopuna koda godišnje. Drži 67,8% globalnog tržišta sustava za kontrolu verzija. Azure DevOps, drugi po veličini, pokriva 9,71% praćenih tvrtki. Više od 90% Fortune 100 kompanija koristi GitHub u razvojnim procesima.

Alternative postoje. Gitea i Forgejo su otvorenog koda i jednostavni za implementaciju, ali se i dalje koristi GitHub. Tehničkih prepreka nema, migracija je izvediva. Ali važnost koju je GitHub izgradio od Microsoftove akvizicije 2018. nije samo broj korisnika: to su GitHub Actions za CI/CD, Copilot integriran direktno u editor, Marketplace s 1.500 alata. Ekosustav koji se godinama gradio oko jedne platforme ne seli se bez godina tranzicije i bez gubitka funkcionalnosti koja se podrazumijeva.

I u tome je cijeli problem. Što je platforma veća, to je primamljivija meta. Što su napadi češći, to je selidba logičnija, ali i skuplja i kompliciranija. Pitanje nije treba li zamijeniti GitHub, već zašto razvojna infrastruktura na kojoj leži kod 90% najvećih svjetskih korporacija i 180 milijuna programera ovisi o jednoj kompaniji, i zašto je to postalo toliko normalno da o tome nitko ne govori dok ne dođe do incidenta.