GitHub sotto attacco: un’estensione malevola di VS Code compromette migliaia di repository interni

GitHub ha confermato ufficialmente di aver subito una violazione di sicurezza interna causata da un’estensione malevola di Visual Studio Code, un episodio che riaccende l’attenzione sui pericoli della supply chain nel mondo dello sviluppo software.

L’attacco, individuato e contenuto rapidamente dal team di sicurezza dell’azienda, non avrebbe coinvolto dati degli utenti o repository pubblici dei clienti, ma esclusivamente repository interni utilizzati dagli sviluppatori di GitHub.

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…

— GitHub (@github) May 20, 2026

Secondo quanto comunicato dall’azienda, tutto sarebbe iniziato dal compromesso del dispositivo di un dipendente tramite un’estensione “avvelenata” installata su Visual Studio Code.

Attraverso questa estensione, gli attaccanti sarebbero riusciti ad accedere ai sistemi interni e a esfiltrare circa 3.800 repository privati, un numero che GitHub considera compatibile con le rivendicazioni diffuse dagli stessi responsabili dell’attacco.

L’incidente è particolarmente preoccupante perché non si tratta di un classico caso di phishing o di una semplice vulnerabilità esposta su internet.

Gli aggressori hanno colpito direttamente gli strumenti quotidiani degli sviluppatori, sfruttando il fatto che le estensioni di VS Code operano con privilegi estremamente elevati.

Un’estensione può accedere al filesystem locale, leggere variabili d’ambiente, interagire con terminali aperti e, in molti casi, ottenere token di autenticazione o credenziali sensibili. Questo rende l’ecosistema delle estensioni un bersaglio sempre più appetibile per gli attacchi moderni.

GitHub ha dichiarato di aver reagito immediatamente alla scoperta del breach. La versione malevola dell’estensione è stata rimossa dal marketplace, il dispositivo compromesso è stato isolato e l’azienda ha avviato una rotazione massiva dei segreti critici, dando priorità alle credenziali considerate più sensibili.

Parallelamente, sono state eseguite analisi approfondite dei log interni e attività di monitoraggio continuo per individuare eventuali movimenti sospetti o ulteriori compromissioni. L’indagine è ancora in corso e GitHub ha promesso la pubblicazione di un report tecnico dettagliato nelle prossime settimane.

Questo episodio rappresenta un ulteriore campanello d’allarme per l’intero ecosistema dello sviluppo software. Negli ultimi anni i supply chain attack sono aumentati in modo significativo e stanno diventando sempre più sofisticati.

Gli aggressori non puntano più soltanto ai server o alle infrastrutture esterne, ma direttamente agli strumenti utilizzati dai programmatori. Dalle librerie open source compromesse fino alle estensioni malevole distribuite tramite marketplace ufficiali, la superficie d’attacco si è ampliata enormemente.

Per questo motivo, molte delle pratiche considerate “consigliate” stanno diventando essenziali. Gli sviluppatori dovrebbero controllare con maggiore attenzione le estensioni installate su Visual Studio Code, privilegiando publisher verificati, progetti con una forte reputazione e aggiornamenti trasparenti.

Anche la rotazione periodica di token, chiavi SSH e credenziali rimane fondamentale, così come l’utilizzo di secret manager dedicati per evitare di inserire informazioni sensibili direttamente nel codice sorgente.

Strumenti di scansione automatica come GitHub Secret Scanning o software specializzati come Gitleaks possono aiutare a identificare rapidamente eventuali segreti esposti nei repository.

Allo stesso tempo, le aziende dovrebbero applicare con più rigidità il principio del “least privilege”, limitando l’accesso degli sviluppatori soltanto ai repository e alle risorse realmente necessarie al loro lavoro quotidiano.

La rapidità e la trasparenza con cui GitHub ha gestito la situazione sono state accolte positivamente dalla community, ma l’episodio dimostra quanto il fattore umano e gli strumenti di sviluppo siano ormai uno dei punti più delicati della sicurezza moderna.

Oggi proteggere il codice non significa soltanto mettere in sicurezza i server o controllare le pull request: significa anche verificare ogni componente dell’ambiente di sviluppo, comprese le estensioni che vengono installate quasi automaticamente e spesso senza troppe verifiche.

Alcune parti di questo articolo sono state generate con l’aiuto dell’intelligenza artificiale.

Ultimo aggiornamento 2026-06-08 / Link di affiliazione / Immagini da Amazon Product Advertising API