GitHub 在週三宣布,因為一名員工的裝置遭到入侵,公司正在調查其內部儲存庫的未經授權存取事件。開發者平台在週二偵測並遏止了這起入侵;該事件涉及一個被投毒的 VS Code 擴充功能,被用來取得存取權。儘管 GitHub 目前沒有證據顯示客戶資訊受到了影響,但該公司正密切監控其基礎設施是否出現後續活動。
GitHub 是全球開發者的主要平台,許多開發者會在其伺服器上託管開源專案與儲存庫。此事件凸顯出:攻擊者會利用開發者工具供應鏈中的弱點,進行憑證蒐集與未經授權存取。
Incident Response and Technical Details
GitHub 在偵測到後立即移除了惡意擴充功能版本、隔離了受影響的端點,並啟動事件應變程序。公司表示,正在調查未經授權存取的完整範圍,以確認哪些內部儲存庫受到影響。
TeamPCP Claims Responsibility
根據 Hackmanac,一個名為 TeamPCP 的駭客團體已在地下駭客論壇上宣稱對此次入侵負責。該團體試圖在網路上販售 GitHub 資料,並宣稱掌握與 GitHub 主要平台及內部組織相關的「4,000 個私有程式碼儲存庫」。
根據 Security Week,TeamPCP 被描述為一個先進且高度依賴自動化的駭客團體,會將遭到入侵的開發者工具轉變為用於金錢牟利的憑證蒐集機器。
Security Guidance
Binance 創辦人 Changpeng Zhao 建議開發者檢視自身的安全做法:「如果你的程式碼裡有 API 金鑰,即使是私有儲存庫,現在就到了該再檢查並更換它們的時候。」
Related Incidents in Developer Security
這起 GitHub 事件發生在同一天:開源資料可觀測性公司 Grafana Labs 披露自己遭到供應鏈攻擊。惡意行為者存取了 Grafana 的 GitHub 儲存庫,並下載其程式碼庫。攻擊者以威脅資料外洩的方式提出贖金要求,但 Grafana 並未接受。
此事件承接自 4 月 28 日對一項關鍵的遠端程式碼執行漏洞的公開披露,漏洞編號為 CVE-2026-3854,該漏洞允許已驗證的使用者在 GitHub 的伺服器上執行任意指令。Wiz Research 這家發現該關鍵漏洞的公司指出,受影響節點上可以存取其他使用者與組織所擁有的數百萬個公有與私有儲存庫。
