GitHub于2026年5月20日通过官方X平台发布声明,确认其内部系统遭到入侵,数千个内部仓库被未授权访问。该事件起源于一名员工在其开发设备上安装了一款恶意的Visual Studio Code(VS Code)扩展,导致设备被控制。GitHub表示,公司在检测到异常后立即采取了遏制措施,移除了VS Code Marketplace中的恶意扩展版本,隔离了受影响的终端设备,并启动了内部应急响应调查。
此次入侵事件最初由黑客组织TeamPCP在一个名为Breached的网络犯罪论坛上披露。该组织声称已成功攻入GitHub的内部网络,并获取了约3800个私有仓库的访问权限。据其描述,攻击者从这些仓库中窃取了内部源代码及其他保密数据。TeamPCP在论坛发帖表示,他们无意对GitHub进行勒索,而是计划将这些数据直接出售给买家,要价至少5万美元。帖文中还威胁称,若未能在限定时间内找到买家,他们将公开泄露所有窃取的仓库数据。
GitHub的回应与当前评估
在对事件的初步分析中,GitHub确认此次攻击活动主要涉及内部仓库的数据泄露,但黑客组织声称入侵了约3800个仓库的说法与GitHub目前调查的结果“方向一致”。GitHub强调,公司已经围绕遏制工作实施了关键秘密和凭证的轮换,以降低进一步风险。同时,安全团队仍在持续审查服务器日志,监测是否存在后续恶意活动。
虽然GitHub并未在声明中公布该恶意VS Code扩展的具体名称或来源,但指出该扩展已从官方市场中删除。该公司呼吁开发者仅从可信来源安装扩展,并提高对开发者工具供应链安全的重视。
攻击手段分析:针对开发者生态的供应链攻击
此次事件利用了Visual Studio Code扩展这一开发者常用的工具渠道,属于典型的供应链攻击。攻击者通过发布或伪装成合法的VS Code扩展,诱导用户安装,从而在后门化的扩展中植入恶意代码,获取对用户系统的远程控制能力。一旦开发者的设备被攻破,攻击者便可利用该设备已有的授权和凭据,进而访问企业内部网络和代码仓库。这类攻击近年来呈上升趋势,对日渐复杂的软件开发生态构成重大威胁。
开发者工具,尤其是插件和扩展的供应链安全正成为安全社区的关注焦点。GitHub本身作为代码托管平台,其内部系统遭此方式入侵,事件本身具有相当的警示意义。开发者在安装扩展时需要更为谨慎地审查其来源和权限,企业亦应强化对内部开发环境的监控和准入控制。
数据泄露的影响与后续关注
考虑到GitHub在全球开发者社区的核心地位,其内部源代码的潜在泄露可能带来深远影响。虽然GitHub已在声明中表示已针对泄露的凭证采取措施,但若窃取的仓库中包含未公开的产品逻辑、安全机制或客户数据,则可能被恶意行为者用于进一步攻击或商业竞争。目前尚无证据表明此次事件已影响普通用户的账户安全,但安全研究人员提示,开发者应留意与GitHub相关的钓鱼活动或凭据滥用。
截至发稿时,TeamPCP组织在Breached论坛上的帖子已被删除,尚不清楚是否已有买家出现。GitHub表示将继续监控情况,并在必要时向执法部门寻求协助。该事件再次突显了开发工具生态中的安全薄弱环节,以及针对高层次目标的新型攻击手法。
本文参考来源:Tom's Hardware
