英語版で読む
技術 約10分で読めます

TeamPCPがGitHub内部リポジトリ約4,000件を販売告知、GitHubは調査中で件数は概ね一致

セキュリティ GitHub TeamPCP 脅威インテリジェンス サプライチェーン
いけさん目次

TL;DR

何が起きた TeamPCPによるGitHub内部リポジトリ約4,000件の販売告知($50,000以上)。GitHubは2026-05-20に調査開始を公表、件数(社内推計約3,800件)について「方向性として一致」との認定

何は未確認 ファイル一覧(Copilot、GitHub Enterprise Server、red-team、XSS hardening系を含むとされる名前)の真正性、TeamPCPが主張する攻撃ベクトル(汚染VS Code拡張機能経由でGitHub社員端末を侵害)、データセット中身の検証

影響範囲 GitHubは「お客様のenterprise・organization・repositoryへの影響を示す証拠は現時点でない」と表明。社内リポジトリの持ち出しに限定との初期評価

対応 一律のトークン総入れ替えは不要。TeamPCPの直近キャンペーン(Mini Shai-Hulud波Shai-Huludソース公開、5/19の@antv 400+ npmと nrwl.angular-console VS Code拡張機能汚染)の踏み有無による範囲の絞り込み

GitHubのコアソースコード、Copilot関連、GitHub Enterprise Server、red-team系、XSS hardening系らしき名前を含む tar.gz の一覧が、TeamPCP名義の販売告知として出回っている。
提示されている規模は約4,000リポジトリ、提示価格は$50,000以上。
告知に含まれているのはディレクトリ名や圧縮ファイル名のスクリーンショットとされるもので、ファイル内容そのものの真正性は2026-05-20時点で確認されていない。

TeamPCPは告知の中で「これはランサムではない。GitHubから恐喝するつもりはない。1人の買い手で完結し、手元のデータは破棄する。我々の引退も近そうなので、買い手がつかなければ無料で流す」と主張している。
2回目の販売告知(Mistral AI関連)からたった数日で、対象がMistralの約450リポジトリからGitHub本体の約4,000リポジトリへ跳ね上がっている。価格設定と「無料公開で脅す」口上が並んだ告知が、Mistral件の数日後に出てきた形になる。

GitHubの公式声明と「直近の動きとは一致」

2026-05-20、GitHubは調査開始を公表した。公式声明は次のとおり。

「GitHubの内部リポジトリへの不正アクセスについて調査中。お客様の内部リポジトリ外に保管されている情報(enterprise、organization、リポジトリ等)への影響を示す証拠は現時点で確認していない。インフラに対する後続活動を継続監視している」

加えて、TheHackerNewsが伝えた追加コメントでは「現時点の評価ではGitHub社内リポジトリの持ち出しに限定される。攻撃者が主張する約3,800リポジトリという数字は、これまでの調査結果と方向性として一致している(directionally consistent)」と踏み込んでいる。
「方向性として一致」は、件数を100%認めたわけではないが、桁・規模感はGitHub側の社内調査でも説明可能、ということになる。
ファイルの中身、つまり実コードや内部命名と実装の整合までは公式に確認されていない。

攻撃ベクトル: VS Code拡張機能経由という主張

TeamPCP側は、初期侵入経路として「GitHub社員端末上で動いていた汚染されたMicrosoft Visual Studio Code拡張機能」を挙げている。
GitHubは公式声明で侵入経路を一切開示していないため、この時点では攻撃者主張の段階で、独立検証は出ていない。
ただ、TeamPCPの直近キャンペーンには実際にVS Code拡張機能の汚染が含まれており、声明前日にはNx関連拡張機能の汚染波も観測されている。

@antv VS Code拡張機能波と日付の近さ

GitHubが声明を出した前日、2026-05-19にWiz Research・Datadog・Aikido・StepSecurityらが、@antv namespace下の400以上のnpmパッケージと、GitHub Actionsの actions-cool/issues-helperactions-cool/maintain-one-comment、そしてVS Code拡張機能 nrwl.angular-console v18.95.0が同時に汚染されたことを確認している。
Wizはインフラ重複と手口の一致からTeamPCP帰属と評価している。

nrwl.angular-console はNx関連の開発ツール拡張で、Angularプロジェクトで使われる。Wizの観測では、永続化として ~/.local/share/kitty/cat.py にPythonバックドアを置き、GitHub上の署名付きC2コマンド(識別子 firedalazer)をポーリングする実装が含まれていた。
端末で動いたあとGitHub token、SSH鍵、クラウド認証情報を収集する点はShai-Hulud系と同じ。

GitHub声明の前日にVS Code拡張機能の汚染波が観測され、翌日にTeamPCPが「VS Code拡張機能経由でGitHub社員端末を侵害した」と主張する形になっている。
時系列的に直接の同一インシデントとは決まっていないが、TeamPCPが「VS Code拡張機能で開発者端末を取る」ベクトルを実際に持っていることは、独立した観測側でも確認された段階だと言える。

Mistral・@antv・Mini Shai-Huludとの位置づけ

販売告知の系譜で見ると、2026年5月にはMistral AI関連でTeamPCPが約450リポジトリ・約5GBの内部コードを売ると主張している。TechRadarの報道では、Mistralはcodebase管理システムの侵害と一部SDKパッケージ汚染を認めつつ、ホストサービス、管理ユーザーデータ、研究・テスト環境は侵害されていないと説明している。

このMistral件は、Mini Shai-HuludがTanStack・Mistralのnpmへ拡大した話と同じ線上にある。
TeamPCPは、正規の開発・配布経路から認証情報を抜き、その認証情報で次の組織やパッケージへ移る。
ソースコードそのものより、GitHub token、npm token、クラウドキー、CIの一時認証情報のほうが次の侵害に直結する。

さらに5月12日には、TeamPCPがShai-HuludワームのソースコードをGitHub上で公開したことも確認されている。OX Securityは、侵害済みとみられるGitHubアカウント経由で公開され、コピーキャットがすでに改変していると報告した。SecurityWeekも、TeamPCPとBreachForumsが「サプライチェーンチャレンジ」を呼びかけ、侵入証拠と下流影響を競わせる構図になっていると報じている。
この流れはShai-Huludワームのソース公開記事に分けて書いた通りで、TeamPCPは技術的な侵害だけでなく、地下フォーラム向けの宣伝と模倣者の動員も同時にやっている。
Microsoftの durabletask Python clientも同じ波で汚染対象になっており、エコシステム横断で広がっている。

コード名より認証情報が危ない

もし本物の内部リポジトリが混ざっている場合、GitHubのプロダクトコードそのものより先に、リポジトリ内に残ったシークレットが問題になる。
シークレットはAPIキー、Personal Access Token、OAuth client secret、CI/CD用の発行権限、クラウド認証情報のように、別システムへアクセスできる秘密情報を指す。
TeamPCPの過去のキャンペーン(一連の攻撃活動)は、まさにここを抜いて次の配布経路へつなげてきた。

GitHub自身も、Actionsまわりの攻撃経路を強く意識している。
2026年3月のGitHub Actions security roadmapでは、tj-actions、Nx、trivy-actionなどを狙う攻撃を踏まえ、workflow-level dependency locking、policy-driven execution、scoped secrets、Actions Data Stream、egress firewallを挙げている。
GitHub-hosted runnerの外向き通信が広く、CI/CD上のシークレット流出と不正publishが連鎖する、という問題意識は公式にもはっきり出ている。

5月5日には、GitHub MCP Serverのsecret scanningもGAになった。
MCPはModel Context Protocolの略で、AIコーディングエージェントやIDEから外部ツールへつなぐためのプロトコル。
GitHubは、Copilot CLIやVS Codeのような環境から、コミットやPR前に露出シークレットをスキャンできる、と説明している。

この2つは今回の販売告知への直接回答ではない。
ただ、TeamPCPが狙う経路(CI/CDシークレット、Actions runner、開発者端末)と、GitHubが防御を厚くしている経路はかなり重なる。
内部コードの真偽より、「どのワークフローがどの認証情報を受け取れるか」「runnerからどこへ外向き通信できるか」「公開前の変更にシークレットが混ざっていないか」を確認するほうが、実際の侵害シナリオに直結する。

いま取れる対応は範囲を絞る

GitHubを使っているだけの組織が、今回の販売告知だけを根拠に全PATと全OAuth credentialを一斉ローテーションする必要はまだない。
GitHubは社内リポジトリの持ち出しに評価を限定しており、お客様データへの影響は現時点で報告されていない。
全社ローテーションはコストも高く、依存システムの停止も起こしやすい。

先にやるなら、TeamPCPの過去TTP、つまり攻撃者の手口・技術・手順に沿った確認になる。
直近でMini Shai-Hulud、Shai-Hulud派生、Trivy、LiteLLM、Checkmarx、Mistral SDK、TanStackまわりの汚染版を踏んだ端末やCI runnerを絞る。
該当する環境では、GitHub token、npm token、クラウドキー、SSH鍵、Kubernetes service account tokenを侵害済みとして扱う。

GitHub Actions側では、pull_request_targetworkflow_dispatchid-token: write、広い contents: write、外部PRから復元されるcacheを点検する。
pull_request_target は、外部PRの文脈でbase repository権限が絡むイベントなので、過去のPwn Request系攻撃やTanStack波でも危険な境界になった。
trusted publishingやOIDCを使っている場合も、runner上で攻撃者コードが動けば短命トークンをその場で使われる。

開発者端末では、~/.claude/settings.jsonSessionStart hook、.vscode/tasks.jsonrunOn: "folderOpen"~/.local/share/kitty/cat.py のような不審なPythonスクリプト、見覚えのない gh-token-monitor 系serviceやLaunchAgentを見る。
@antv波で確認された永続化は ~/.local/share/kitty/cat.py 経由のC2ポーリング(firedalazer 識別子)で、Claude Code設定を触る経路もShai-Huludのソース公開で完全に開示された。
侵害の痕跡、つまりIOCとして固定のファイル名やハッシュだけを見ると、コピーキャット版で外れる。
「エージェント起動時に不明なJSを呼ぶ」「フォルダを開いた瞬間にsetupスクリプトが走る」「IDE拡張機能が更新直後に外向き通信を始める」という挙動で拾うほうがいい。

VS Code拡張機能の棚卸しは、TeamPCPが攻撃ベクトルとして名指ししている以上、今回のタイミングで一度やる価値がある。
インストール済み拡張機能の発行元、最終更新日、auto-update設定、postinstall相当の任意スクリプト実行有無、特権APIへのアクセス範囲を見る。
特に開発者端末でGitHub PATやクラウド認証情報が平文で残っている場合、拡張機能経由のローカル読み取りで簡単に持っていかれる。

未確認情報として残るもの

今回のアラートには、LimeWire上のリンク、Tox ID、セッションID、企業圧縮ファイルの論理名が含まれるとされている。
これらは脅威インテリジェンス基盤に登録して監視する価値はあるが、本文には具体IDを転載しない。
二次配布や接触誘導の入口になりやすいからだ。

GitHubが調査開始を公表し、件数の桁感は概ね認めた一方で、残っている未確認点は次のとおり。
実ファイルが本当に4,000件規模で存在するのか、一覧が本物の内部命名に由来するのか、古いアーカイブやダミー名が混ざっているのか、Copilot関連やred-team系などセンシティブな名前がどこまで実体を伴うのか、攻撃ベクトルが本当にVS Code拡張機能経由なのか、いつ侵害が起きたのか、どれも公式には明かされていない。
「GitHub本体が侵害された」という見出しに飛びつくより、TeamPCPがMistral・TanStack・@antv・Shai-Huludで見せた認証情報窃取とサプライチェーン拡散の延長として、手元のCI/CD境界と開発者端末の拡張機能棚卸しを締め直すほうが作業になる。

TeamPCP関連記事