5 月 21 日,GitHub 在 X 平台确认了一起安全事件:一名员工因安装了被植入恶意代码的 VS Code 扩展,导致设备被攻破,约 3800 个内部代码仓库遭到泄露。该恶意扩展目前已被从 VS Code 应用商店中删除。GitHub 强调,本次泄露仅涉及自有内部仓库,不包含用户数据,影响范围有限。
事件详情与黑客声称
据 GitHub 方面随后公布的调查结果,攻击者通过一个被植入恶意代码的 VS Code 扩展侵入员工设备,进而获取了约 3800 个内部存储库的访问权限。该扩展在被发现后已从官方商店移除,但事件发生的时间点以及攻击入口的细节尚未完全披露。虽然官方暂时没有公布攻击者身份,但据 BleepingComputer 消息,黑客组织 TeamPCP 已在黑客论坛 Breached 上宣称对此次事件负责。
TeamPCP 发帖表示,他们已经拿到 GitHub 源代码以及大约 4000 个私有仓库(与官方公布数量基本吻合),并开价至少 5 万美元进行出售。黑客在帖子中强调:“这不是勒索,我们不想敲诈 GitHub。数据只卖给一个买家,卖出后会删除自己手里的数据。如果没人买,将免费公开。价高者得,低于 5 万美元免谈。”目前 GitHub 仍在继续调查中,尚未证实这些仓库的实际复制情况。
攻击模式分析
此次事件是一起典型的供应链攻击,但与传统方式不同——攻击者并未直接利用系统漏洞,而是将恶意代码伪装成合法扩展,通过软件分发渠道直接攻击终端用户。有分析指出,这种攻击手法将目标从基础设施转向了“人”,而人的行为往往是安全链条中最难防御的一环。一旦员工主动安装了看似无害的扩展,攻击者便获得了可信的入口。
目前事件的最终影响仍取决于是否有买家购得这批数据,否则这些仓库将按黑客所说被公开泄露。业界将持续关注后续发展。另据了解,在 Nginx rewrite 模块高危漏洞(CVE-2026-42945)修复后,最新 Nginx 1.31 版本又被曝出存在新漏洞,不过该消息与本次 GitHub 泄露事件无关。
本文参考来源:小众软件
