GitHub chính thức xác nhận kho lưu trữ nội bộ bị truy cập trái phép, giới tiền mã hóa cảnh giác, các nhà phát triển chỉ trích: GitHub không còn đáng tin cậy nữa, ngày nào cũng có thứ bị hỏng

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯2288 từ

GitHub sáng nay chính thức thừa nhận các kho lưu trữ nội bộ đã bị truy cập trái phép, nhưng nhấn mạnh hiện chưa có bằng chứng cho thấy dữ liệu khách hàng bị rò rỉ; tuy nhiên, cộng đồng an ninh mạng cảnh báo: nếu cơ sở hạ tầng của GitHub bị xâm nhập, hậu quả sẽ nghiêm trọng hơn nhiều so với việc rò rỉ một kho lưu trữ đơn lẻ. (Thông tin trước đó: OpenClaw trở nên nổi tiếng như một "máy rút tiền của hacker"! Trang web chính thức bị sao chép từng pixel để cướp ví Web3) (Thông tin bổ sung: Hãy cẩn thận với các Bot mã nguồn mở trên Github! Dư Huyền của SlowMist: Một robot mã nguồn mở miễn phí chứa cửa sau, đánh cắp khóa cá nhân Solana) GitHub vào sáng nay (ngày 20) theo giờ Đài Loan đã đưa ra tuyên bố thông qua tài khoản X chính thức (@github), chính thức thừa nhận các kho lưu trữ nội bộ đã bị truy cập trái phép và hiện đang tiến hành điều tra. We are investigating unauthorized access to GitHub’s internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub’s internal repositories (such as our customers’ enterprises, organizations, and repositories), we are closely… — GitHub (@github) May 19, 2026 Trong thông báo, GitHub nhấn mạnh: "Hiện không có bằng chứng cho thấy thông tin khách hàng được lưu trữ bên ngoài các kho lưu trữ nội bộ của GitHub (bao gồm tài khoản doanh nghiệp, tổ chức và kho lưu trữ của người dùng) bị ảnh hưởng", đồng thời cho biết đang giám sát chặt chẽ cơ sở hạ tầng để ngăn chặn các hành động tiếp theo. Nếu phát hiện bất kỳ ảnh hưởng nào, họ sẽ thông báo cho khách hàng thông qua các kênh phản hồi sự cố hiện có. Việc các kho lưu trữ nội bộ của GitHub bị xâm hại lần này không phải là sự cố đơn lẻ, mà là mắt xích mới nhất trong chuỗi các cuộc tấn công gần đây. Ngày 16 tháng 5, nền tảng giám sát Grafana Labs công khai xác nhận đã gặp phải sự cố rò rỉ GitHub Token: sau khi chiếm được Token, kẻ tấn công đã tải xuống toàn bộ kho mã nguồn và đưa ra yêu cầu tống tiền, Grafana đã chọn từ chối thanh toán. Ngày 14 tháng 5, một trường hợp gây sốc hơn đã lộ diện: kho lưu trữ GitHub nội bộ "Private-CISA" của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bị công khai ra bên ngoài suốt sáu tháng, chứa 844 MB mật khẩu văn bản thuần, AWS Token và chứng chỉ Entra ID SAML. Ngay cả cơ quan phòng thủ mạng hàng đầu của Hoa Kỳ cũng mắc sai lầm trong thiết lập GitHub, The Register mô tả tên của một số tệp trong đó là "rõ ràng đến mức khó tin". Cùng tháng, kho lưu trữ GitHub của công ty an ninh danh tính SailPoint cũng bị xâm nhập, SecurityAffairs tiết lộ sự cố này cho thấy kẻ tấn công đã nhắm mục tiêu vào chính các nhà cung cấp an ninh mạng vốn nắm giữ lượng lớn chứng chỉ. Đối với các doanh nghiệp tiền mã hóa, hậu quả của việc cơ sở hạ tầng GitHub bị xâm nhập đã có tiền lệ đẫm máu. Tháng 3 năm 2026, Unit42 thuộc Palo Alto Networks đã tiết lộ một cuộc tấn công chuỗi cung ứng có mục tiêu: mục tiêu đầu tiên của kẻ tấn công chính là dự án mã nguồn mở agentkit của Coinbase. Sau khi Coinbase phát hiện và chặn đứng, kẻ tấn công đã chuyển địa bàn, chiếm quyền kiểm soát thành công GitHub Action "tj-actions/changed-files" được sử dụng rộng rãi, cuối cùng ảnh hưởng đến 23.000 kho lưu trữ, trong đó 218 kho thực sự bị rò rỉ secrets. Phân tích đầy đủ có trong báo cáo của Unit42. Từ tháng 4 đến tháng 5 cùng năm, 15 thẻ GitHub Action phổ biến như "second-action" đã bị sửa đổi, trỏ đến các commit độc hại, The Hacker News cũng đã ghi lại sự cố chiếm quyền thẻ có phạm vi ảnh hưởng rộng lớn này. Tác động trực tiếp nhất đến người dùng tiền mã hóa là sự cố Bitwarden CLI: kẻ tấn công thông qua GitHub Action bị xâm nhập đã cấy gói npm độc hại vào phiên bản Bitwarden CLI 2026.4.0, chương trình chủ động đánh cắp các tệp ví MetaMask, Phantom và Solana. Chuỗi tấn công này đã minh họa đầy đủ con đường thu hoạch ba giai đoạn: "Đường ống CI/

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (動區 BlockTempo)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản3 tin

2026-05-22

Andrej Karpathy đúc kết "4 nguyên tắc CLAUDE.md" gây bão trên GitHub, giúp độ chính xác khi AI viết code vượt mốc 90%

Độ tương đồng 120%關鍵字 github同分類 zh

2026-05-21

GitHub xác nhận 3.800 repo nội bộ bị đánh cắp do nhân viên cài nhầm tiện ích mở rộng VSCode độc hại

Độ tương đồng 120%關鍵字 github同分類 zh

2026-05-01

GitHub Copilot thu phí, vạch trần "lời nói dối lớn nhất" của ngành công nghiệp AI

Độ tương đồng 120%關鍵字 github同分類 zh

💡 Hiện đang sử dụng đối chiếu từ khóa + tài sản (MVP) · Sau này sẽ nâng cấp lên tìm kiếm ngữ nghĩa embedding