GitHub、従業員が悪意のあるVSCode拡張機能を誤ってインストールしたため、3,800件の内部repoが盗まれたことを確認

📄原文全文· trafilatura により自動抽出Gemini 翻譯1608 文字

GitHubが確認：従業員がマルウェアを仕込まれた VS Code 拡張機能をインストールしたことにより、約3,800個の内部プライベートリポジトリが窃取された。GitHubはエンドポイントを隔離し、当該拡張機能を削除したと発表。現時点で顧客データへの影響は見られないとしている。（前回の経緯：GitHub公式が内部リポジトリへの不正アクセスを認める。暗号資産界隈に警戒感、開発者からは「GitHubはもはや信頼できない、毎日何かが壊れている」との批判も）（背景補足：SlowMistのセキュリティ責任者が警告：OpenClawを盲目的に追うな、基礎知識の不足が小龍蝦（ザリガニ）をセキュリティの深刻な被災地にする恐れ） GitHub公式アカウントの最新声明により、悪意のある VS Code 拡張機能に起因する内部システム侵入事件が正式に確認された。攻撃者は約3,800個のGitHub内部プライベートリポジトリを窃取しており、ハッカー集団 TeamPCP が対外的に主張している規模と一致する。 1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories. Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,… — GitHub (@github) May 20, 2026 GitHubは X の投稿で次のように述べた。「昨日（5月19日）、我々は従業員のデバイスが侵害されたことを検知し、封じ込めた。原因は汚染された VS Code 拡張機能だった。我々は悪意のある拡張機能のバージョンを削除し、エンドポイントを隔離し、直ちにインシデント対応手順を開始した。」「現在の評価では、今回の活動はGitHub内部リポジトリのデータ漏洩に関与している。攻撃者が現在主張している約3,800個のリポジトリという数字は、我々のこれまでの調査結果と一致している。」 GitHubは同時に、現時点で顧客データが影響を受けた兆候はなく、影響範囲はこれら内部 repo に保存されていたコードのみに限定されていると強調した。 GitHubが侵入を検知した同日、ハッカー集団 TeamPCP は5月19日にアンダーグラウンドフォーラム Breached に投稿を行い、GitHubのソースコードと「約4,000個のプライベートリポジトリ」を窃取したと主張し、少なくとも5万ドルの入札を要求した。 TeamPCP は Breached フォーラムの投稿で次のように主張した。「いつものことだが、これは恐喝ではない。我々はGitHubを脅すつもりはない。買い手を見つけてくれればデータを削除する。引退の時が近いようだ。もし買い手が見つからなければ、無料で流出させる。」 TeamPCP は新参の組織ではない。同組織は過去に GitHub、PyPI、NPM、Docker に対してサプライチェーン攻撃を仕掛けてきた。今年初めの「Mini Shai-Hulud」サプライチェーン活動では、OpenAI の従業員2名も被害に遭っている。 VS Code Marketplace 自体にも前科がある。昨年、累計900万回インストールされた拡張機能が削除されたほか、開発ツールを装った10個の拡張機能に XMRig マイニングプログラムが仕込まれていたことが発覚した。また、脅威アクター WhiteCobra は、暗号資産を窃取することに特化した24個の拡張機能を拡散させていた。 2026年1月には、AIプログラミング支援ツールを装った2つの拡張機能が累計150万回インストールされ、その後、継続的にデータを中国のサーバーへ送信していたことが判明した。今回の事件は、開発環境そのものがサプライチェーン攻撃の主要な入り口となっており、VS Code Marketplace の審査メカニズムでは悪意のあるアップロードをすべて即座に阻止できていないという事実を改めて証明した。 GitHubは現在1.8億人以上の開発者にサービスを提供し、4.2億個以上のリポジトリを収容しており、ユーザーは世界のフォーチュン100企業の90%以上をカバーしている。今回漏洩が確認されたのは「GitHub内部 repo」であり、直ちにユーザーのコード流出と同義ではないものの、GitHubが悪意のある拡張機能の正確な名称を公開していないため、疑わしい VS Code 拡張機能をインストールしたことのある開発者は自ら調査することができない状態にある。調査が継続される中、GitHubは被害を受けた従業員が拡張機能をインストールした具体的な状況や、今後さらに技術的な詳細を公開するかどうかについては明らかにしていない。

データステータス✓ 全文抽出済み原文を読む（動區 BlockTempo）

🔍過去の類似イベント· キーワード + 銘柄照合3 件

2026-05-22

Andrej Karpathy が提唱した「CLAUDE.md の4大原則」が GitHub で話題に、AI によるコーディング精度が 90% を突破

類似度 120%關鍵字 github同分類 zh

2026-05-20

GitHub公式が内部リポジトリへの不正アクセスを認め、暗号資産業界が警戒、開発者は批判：GitHubはもはや信頼できない、毎日何かが壊れている

類似度 120%關鍵字 github同分類 zh

2026-05-01

GitHub Copilotの有料化が暴いた、AI業界の「最大の嘘」

類似度 120%關鍵字 github同分類 zh

💡 現在はキーワード + 銘柄照合（MVP）を使用しています · 今後 embedding セマンティック検索へアップグレード予定