2025年5月20日,GitHub官方确认,由于一名员工设备上安装了一个被投毒的VS Code扩展,攻击者成功访问了约3800个内部仓库。涉事威胁组织TeamPCP(被Google威胁情报组正式追踪为UNC6780)已声称对此次事件负责,并正在公开渠道宣传和出售窃取的代码仓库数据。
作为微软旗下的代码托管与协作平台,GitHub并未在当日的简短声明中披露该VS Code扩展的具体名称或传播渠道,但明确指出攻击者通过该扩展在员工工作环境中获得了初始访问权限,进而渗透到内部代码基础设施中。此次泄露的仓库包含大量内部源码、配置文件和可能的凭据,对企业内部安全造成了直接冲击。
供应链攻击的典型路径
VS Code是当前最流行的轻量级代码编辑器之一,其扩展生态拥有数百万用户。攻击者通过发布伪装成正常工具的扩展,或采用“依赖混淆”等技术诱导开发者安装,已成为供应链攻击的重要入口。本次事件中,被投毒的扩展被安装到一名GitHub员工的设备上,攻击者借此绕过了外围防护,直接在内网中横向移动并窃取仓库数据。
TeamPCP(UNC6780)是一个长期活跃的威胁组织,其过往活动常涉及通过软件供应链进行信息窃取。此次他们公开叫卖GitHub内部数据,一方面展示了攻击的“成功”,另一方面也向开发者社区传递了明确的警示:即便是安全防护水平较高的企业,也无法完全杜绝由内部员工终端引入的供应链风险。
安全审计与扩展生态反思
此次事件再次将VS Code扩展生态的安全审查机制推到聚光灯下。尽管微软提供了扩展安全扫描、沙箱运行等防护措施,但恶意扩展依然能通过社会工程学或伪装成无害功能来绕过检测。GitHub的内部调查显示,该扩展在被发现前已运行了一段时间,期间攻击者持续从内部仓库中提取数据。
对于企业而言,员工使用开发工具时面临的扩展“信任链”风险正在加剧。本次泄露的3800个仓库虽不直接等同于客户数据泄露,但源码与内部架构的曝光可能为后续针对性攻击提供蓝图。GitHub表示已撤销该扩展的访问权限,并通知可能受影响的账户。
开发者与企业的共同防线
VS Code扩展投毒并非首次出现,但此次直接对GitHub自身发动攻击,凸显了供应链攻击的无差别特性。开发者社区应重新审视扩展的安装策略,优先选择官方验证或高信誉的发布者,并定期审计已安装的扩展列表。企业层面则需强化终端监控与最小权限原则,防范类似初始入侵手段。
截至发稿,GitHub尚未披露受影响仓库的恢复进度,也未确认是否有客户数据被间接波及。不过,TeamPCP在网络犯罪论坛上宣传的数据集已引起安全社区高度关注,多组研究人员正在追踪数据的分发与可能的影响范围。
本次事件再次证明,在软件开发生命周期中,任何一环的信任滥用都可能引发大规模泄露。对于依赖GitHub进行源码管理的企业而言,此次发生在平台自身的安全事故,是一次迫近的警钟。
本文参考来源:VentureBeat
微信扫描下方的二维码阅读本文
