Il fondatore di Binance avverte gli sviluppatori di ruotare le chiavi API dopo la violazione di un repository interno di GitHub.

Changpeng Zhao ha chiesto agli sviluppatori di esaminare e sostituire immediatamente tutte le chiavi API presenti nel codice, dopo che GitHub ha rivelato il 20 maggio che degli hacker avevano ottenuto accesso non autorizzato ai suoi repository interni. L'incidente è stato causato da un'estensione dannosa di Visual Studio Code installata sul dispositivo di un dipendente compromesso.

Il 19 maggio GitHub ha rilevato un accesso non autorizzato ai repository interni della piattaforma. Di conseguenza, ha immediatamente rimosso la versione dannosa dell'estensione e isolato l'endpoint.

La piattaforma di proprietà di Microsoft ha dichiarato di star indagando su accessi non autorizzati a repository interni e di non aver ancora trovato alcuna prova che repository utente, account aziendali o altri dati dei clienti archiviati al di fuori di tali sistemi interni siano stati compromessi.

La piattaforma di hosting del codice ha inoltre dichiarato che, sebbene l'indagine sia ancora in corso, sta monitorando attentamente la situazione.

GitHub ha poi annunciato su X che, a seguito della valutazione, l'attività ha riguardato esclusivamente l'esfiltrazione di repository interni a GitHub. Ha aggiunto che i risultati sono coerenti con le affermazioni dell'attaccante, secondo cui avrebbe avuto accesso a circa 3.800 repository.

La piattaforma di hosting del codice ha dichiarato di aver ridotto il rischio effettuando la rotazione dei segreti più importanti durante la notte e nell'arco della stessa giornata, dando priorità alle credenziali più sensibili.

Ha inoltre aggiunto che verranno intraprese ulteriori azioni con il progredire dell'indagine e che sono ancora in corso l'analisi dei registri, la verifica dell'efficacia della procedura di rotazione segreta e il monitoraggio di eventuali attività successive. La piattaforma ha anche affermato che, al termine dell'indagine, verrà pubblicato un rapporto più completo.

La violazione di GitHub è attribuita all'attacco alla catena di approvvigionamento UNC6780.

1/ Stiamo condividendo ulteriori dettagli in merito alla nostra indagine sull'accesso non autorizzato ai repository interni di GitHub.
Ieri abbiamo rilevato e contenuto una compromissione di un dispositivo di un dipendente tramite un'estensione di VS Code infetta. Abbiamo rimosso la versione dannosa dell'estensione…
— GitHub (@github) 20 maggio 2026

La violazione dei sistemi interni di GitHub è stata attribuita a un gruppo di hacker che utilizza lo pseudonimo TeamPCP. Il gruppo afferma di aver rubato il codice sorgente e dati aziendali riservati e sta ora vendendo il materiale rubato sui forum del dark web dedicati al cybercrimine. I prezzi richiesti superano i 50.000 dollari.

Secondo gli hacker, quasi 4.000 repository privati collegati all'infrastruttura principale di GitHub sarebbero tra i contenuti rubati. Avrebbero diffuso un indice dei file e degli screenshot che mostrano i nomi di molti archivi di repository a supporto di tale affermazione. Sostengono inoltre di poter fornire campioni a potenziali acquirenti seri come prova di autenticità.

Il Google Threat Intelligence Group ha identificato TeamPCP come UNC6780, un gruppo motivato da interessi finanziari con una storia di violazioni della catena di approvvigionamento. L'Intelligence Group ha osservato che l'obiettivo dichiarato di TeamPCP è sempre stato quello di concentrarsi su configurazioni CI/CD e strumenti per sviluppatori, dove è possibile ottenere un accesso più approfondito al sistema tramite token privilegiati e credenziali di automazione.

Il gruppo è stato collegato allo sfruttamento della vulnerabilità Trivy Vulnerability Scanner tramite la CVE-2026-33634 all'inizio del 2026. Lo sfruttamento ha colpito oltre 1.000 aziende, tra cui Cisco. Sono stati inoltre collegati a campagne mirate contro LiteLLM e Checkmarx, incentrate sulla raccolta di credenziali nelle pipeline di distribuzione del software.

Le API per le criptovalute sono esposte a una crescente vulnerabilità della catena di fornitura.

In seguito all'attacco hacker a GitHub e all'avvertimento di Changpeng Zhao , l'ecosistema delle API per le criptovalute, che si basa in gran parte su strumenti per sviluppatori e integrazioni di terze parti, è finito sotto la lente d'ingrandimento.

L'attacco hacker a GitHub evidenzia quanto possa diventare vulnerabile l'infrastruttura crittografica contemporanea quando gli ambienti di sviluppo principali vengono compromessi, soprattutto quando i repository di codice contengono o elaborano chiavi API, token di automazione e credenziali CI/CD. In tali configurazioni, una singola intrusione nella catena di fornitura può avere ripercussioni su molteplici servizi di trading, custodia e dati che si basano su queste connessioni.

Secondo quanto riportato da Cryptopolitan il 26 marzo 2026, un'API corretta è fondamentale per qualsiasi progetto di criptovaluta, che si tratti di sviluppare un bot di trading, una dashboard di analisi DeFi o un tracker di portafoglio. L'articolo sottolineava inoltre che fornire informazioni complete, accurate e a bassa latenza favorisce, anziché ostacolare, lo sviluppo.

I fornitori di infrastrutture API che facilitano il trading, l'analisi e la connettività blockchain stanno attirando sempre più l'attenzione del settore. Cryptopolitan ha riportato che piattaforme come CoinStats API, CoinGecko API, CoinMarketCap API, CCData (CryptoCompare), CoinAPI, Kaiko, Glassnode, Covalent, Alchemy, Infura, QuickNode e Bitquery dimostrano come exchange, app fintech e servizi blockchain si affidino ad API standardizzate per supportare la crescita e consentire flussi di dati in tempo reale.

Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis .