Khoảng 3.800 kho dữ liệu nội bộ của GitHub đã bị đánh cắp trong một vụ xâm nhập nhắm vào nền tảng chia sẻ mã nguồn lớn nhất thế giới. Sự cố này phơi bày lỗ hổng nghiêm trọng trong chuỗi cung ứng phần mềm, trong bối cảnh tội phạm mạng ngày càng chuyển trọng tâm sang khai thác các công cụ lập trình thay vì tấn công trực tiếp vào hệ thống doanh nghiệp.

Theo VentureBeat, vụ rò rỉ bắt nguồn từ việc một thiết bị của nhân viên bị xâm nhập thông qua tiện ích Visual Studio Code độc hại. Nhóm tin tặc TeamPCP, còn được Google Threat Intelligence Group theo dõi dưới mã UNC6780, đã lên tiếng nhận trách nhiệm cho vụ tấn công và đang rao bán lượng dữ liệu này trên một diễn đàn mạng với mức giá khởi điểm 50.000 USD.

Trong khi đó, GitHub khẳng định chưa có bằng chứng nào cho thấy dữ liệu khách hàng lưu trữ bên ngoài bị ảnh hưởng. TeamPCP cũng không phải cái tên xa lạ trong giới an ninh mạng khi trước đó từng thực hiện thành công vụ đánh cắp hơn 90 gigabyte dữ liệu từ hệ thống đám mây của Ủy ban Châu Âu.

Tuy nhiên, sự cố tại GitHub không phải là một cuộc tấn công đơn lẻ mà nằm trong chiến dịch lớn nhắm vào chuỗi cung ứng phần mềm toàn cầu. Chỉ trong vòng 48 giờ, giới bảo mật đã ghi nhận hàng loạt lỗ hổng trên nhiều bề mặt tấn công khác nhau bị khai thác.

Cùng ngày GitHub xác nhận vụ việc, làn sóng tấn công mang tên Mini Shai Hulud đã tạo ra các chứng nhận giả mạo hợp lệ cho 639 phiên bản gói npm độc hại. Các chuyên gia từ Trend Micro, StepSecurity và Snyk xác định TeamPCP đứng sau ít nhất 7 đợt tấn công liên quan đến mã độc này kể từ tháng 3.

Trước đó một ngày, một tiện ích mở rộng VS Code khác với 2,2 triệu lượt cài đặt cũng bị xâm nhập. Đồng thời, hệ thống Wiz phát hiện nhóm tin tặc này đã cài cắm thành công mã độc vào bộ công cụ phát triển phần mềm Python durabletask SDK của Microsoft trên thư viện PyPI. Việc nhắm mục tiêu vào các dự án mã nguồn mở cho phép tội phạm mạng giành quyền kiểm soát hàng loạt máy tính cùng một lúc, qua đó khuếch đại đáng kể quy mô thiệt hại.

Trong khi đó, việc kiểm soát bảo mật nội bộ cũng ngày càng phức tạp hơn. Báo cáo DBIR năm 2026 của Verizon cho thấy 67% nhân viên hiện truy cập các công cụ AI thông qua tài khoản cá nhân thay vì tài khoản doanh nghiệp.