FFeel.Trading
要闻列表GitHub 證實 3,800 個內部 repo 被竊,起因於員工誤裝惡意 VSCode 擴充功能
動區 BlockTempo2026-05-21 01:10:50

GitHub 證實 3,800 個內部 repo 被竊,起因於員工誤裝惡意 VSCode 擴充功能

ORIGINALGitHub 證實 3,800 個內部 repo 被偷,因員工誤裝惡意 VSCode 擴充
AI 影响分析Grok 分析中...
📄完整原文· 由 trafilatura 自动抓取1608 字
GitHub 確認:一名員工因裝了被植入惡意程式的 VS Code 擴充,導致約 3,800 個內部私有倉庫遭竊取。GitHub 表示已隔離端點並移除該擴充,客戶資料目前無被波及跡象。 (前情提要:GitHub 官方證實內部倉庫遭未授權存取、加密圈警戒,開發者批:GitHub 不再可靠,每天都有東西壞掉) (背景補充:慢霧資安長示警:別盲目追逐 OpenClaw,基礎不足恐讓小龍蝦成資安重災區) itHub 官方帳號最新聲明正式確認一起源自惡意 VS Code 擴充的內部系統入侵事件:攻擊者竊走約 3,800 個 GitHub 內部私有倉庫,與駭客組織 TeamPCP 對外宣稱的規模方向一致。 1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories. Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,… — GitHub (@github) May 20, 2026 GitHub 在 X 推文中表示:「昨天(5 月 19 日)我們偵測並控制了一起員工裝置遭入侵事件,起因是一個被下毒的 VS Code 擴充。我們已移除惡意擴充版本、隔離端點,並立即啟動事件應變程式。」 「目前評估顯示,此次活動涉及的是 GitHub 內部倉庫的資料外洩。攻擊者目前所稱的約 3,800 個倉庫,與我們迄今的調查結果方向一致。」 GitHub 同時強調,目前沒有跡象顯示客戶資料受到波及,受影響範圍僅限於存放在這批內部 repo 中的程式碼。 就在 GitHub 偵測到入侵的同一天,駭客組織 TeamPCP 於 5 月 19 日在地下論壇 Breached 發文,宣稱已竊取 GitHub 原始碼與「約 4,000 個私有倉庫」,要求出價至少 5 萬美元。 TeamPCP 在 Breached 論壇貼文中聲稱:「一如往常,這不是勒索,我們不在乎敲詐 GitHub,找一個買家、我們這邊就刪資料,看來退休時刻快到了;若找不到買家,就免費洩出去。」 TeamPCP 並非初出茅廬的組織。該組織過去曾針對 GitHub、PyPI、NPM、Docker 發動供應鏈攻擊;今年稍早的「Mini Shai-Hulud」供應鏈活動更波及兩名 OpenAI 員工。 VS Code Marketplace 本身同樣有前科。去年,一款累計 900 萬次安裝的擴充遭下架;另有 10 個偽裝開發工具的擴充被發現植入 XMRig 挖礦程式;威脅行為者 WhiteCobra 則散布 24 個專門竊取加密貨幣資產的擴充。 2026 年 1 月,兩個偽裝 AI 程式輔助工具的擴充累計達 150 萬次安裝,事後證實持續把資料回傳中國伺服器。 這次事件再度印證一件事:開發環境本身正成為供應鏈攻擊的主要入口,而 VS Code Marketplace 的審核機制顯然無法即時攔截所有惡意上架。 GitHub 目前服務超過 1.8 億名開發者、收錄逾 4.2 億個倉庫,用戶涵蓋全球 90% 以上的財富百大企業。此次確認外洩的雖然是「GitHub 內部 repo」,不直接等同用戶程式碼外流,但 GitHub 拒絕公開惡意擴充的確切名稱,使得任何曾安裝可疑 VS Code 擴充的開發者無從自查。 隨著調查持續進行,GitHub 尚未說明受害員工安裝擴充的具體情境,以及後續是否會公布更多技術細節。
数据状态✓ 已抓取全文阅读原文(動區 BlockTempo)
🔍历史类似事件· 关键词 + 标的比对2 则
2026-05-20
GitHub 官方證實內部倉庫遭未授權存取、加密圈警戒,開發者批:GitHub 不再可靠,每天都有東西壞掉
相似度 120%關鍵字 github同分類 zh
2026-05-01
GitHub Copilot 开始收费,揭开了 AI 产业“最大的谎言”
相似度 120%關鍵字 github同分類 zh
💡 目前用关键词 + 标的比对(MVP)· 之后会升级为 embedding 语义搜寻
原始信息
ID:409d3aca46
来源:動區 BlockTempo
发布:2026-05-21 01:10:50
分类:zh_news · 导出分类 zh
标的:未指定
社群投票:+0 /0 · ⭐ 0 重要 · 💬 0 留言