GitHub 确认通过中毒的 VS Code 扩展对内部存储库进行未经授权的访问,黑客组织 TeamPCP 声称对此负责。
GitHub 于 2026 年 5 月 20 日宣布,攻击者通过恶意 Visual Studio Code (VS Code) 扩展危害员工的设备,从而获得了对其内部存储库的未经授权的访问。据报道,此次泄露事件仅限于 GitHub 的内部基础设施,但突显了针对开发者生态系统的供应链攻击的风险日益增加。
在一份声明中,GitHub 确认其于 5 月 19 日检测到并遏制了该漏洞,删除了恶意扩展并隔离了受影响的系统。该平台向用户保证,“没有证据表明存储在 GitHub 内部存储库之外的客户信息受到影响”。后续活动的监控正在进行中。
TeamPCP 功劳
一个名为 TeamPCP 的黑客组织声称对此次泄露事件负责。据报道,该组织试图出售被盗数据,声称其拥有与 GitHub 主要平台和内部组织项目相关的“4,000 个私人代码存储库”。 TeamPCP 因利用受损的开发人员工具获取凭证并通过违规行为获利而声名狼藉。
安全专家已标记出潜在的下游风险。内部存储库可能保存敏感的 CI/CD 配置、基础设施即代码脚本或安全工具,攻击者可能会利用这些工具来瞄准更广泛的系统。币安首席执行官赵长鹏警告开发人员“仔细检查并替换代码中的 API 密钥,即使是在私人存储库中。”
更大趋势的一部分
GitHub 漏洞是 2026 年针对开发者平台的一系列供应链攻击中的最新一起。就在一天前,Grafana Labs 披露了一次由勒索软件驱动的供应链攻击,该攻击暴露了其自己的 GitHub 存储库。今年早些时候,Checkmarx GitHub 存储库的泄露凸显了开发者生态系统中凭证盗窃活动日益频繁。
除了更广泛的安全问题之外,GitHub 本身还解决了 2026 年 4 月 28 日披露的一个严重漏洞 (CVE-2026-3854),该漏洞允许经过身份验证的用户在其服务器上执行任意命令。虽然这些事件看起来截然不同,但它们清楚地描绘了开发人员和平台运营商面临的来自日益复杂的威胁行为者的更高风险。
为什么重要
GitHub 是全球开发者社区的支柱,为个人和企业托管开源项目和私有代码库。其内部系统的漏洞可能会破坏对其平台的信任,特别是如果攻击者获得用于危害下游用户的敏感数据。这一事件凸显了强大的供应链安全的必要性,不仅是对开发者而言,也是对支持他们的平台而言。
目前,GitHub 已将此次泄露归类为“内部存储库访问调查”,而不是客户数据泄露。但是,建议使用 GitHub 的开发人员和组织检查其安全实践,特别是在 API 密钥、秘密管理和依赖关系卫生方面。
此次泄露还引发了人们对 VS Code 等流行开发工具的安全性的质疑,强调在选择和监控第三方扩展时需要保持警惕。