GitHub遭遇安全事件:约3800个内部仓库代码泄露
GitHub遭遇安全事件:约3800个内部仓库代码泄露
Liuwx前言
2026年5月19日,全球最大代码托管平台GitHub官方确认,其内部代码仓库遭遇未经授权访问。事件起因是一名员工设备被植入恶意VS Code扩展,攻击者声称窃取约3800个内部仓库。这是GitHub有史以来最严重的安全事件之一。
一、事件概述
事件基本信息
| 项目 | 内容 |
|---|---|
| 事件时间 | 2026年5月19日 |
| 攻击入口 | 恶意VS Code扩展 |
| 受影响仓库 | 约3,800个(攻击者声称约4,000个) |
| 攻击组织 | TeamPCP(UNC6780) |
官方声明:GitHub昨日检测到并遏制了一起员工设备被入侵的事件,该事件涉及一个被污染的VS Code扩展。GitHub移除了该恶意扩展版本,隔离了终端设备,并立即展开事件调查。
二、被泄露的数据
根据威胁组织TeamPCP的声称和慢雾首席信息安全官的分析,被泄露的代码可能包括:
| 数据类型 | 描述 |
|---|---|
| 🔴 Copilot源码 | GitHub AI编程助手核心代码 |
| 🔴 CodeQL算法 | 代码安全分析引擎 |
| 🔴 Actions运行时 | CI/CD平台核心逻辑 |
| 🔴 计费系统 | 商业化核心系统 |
| 🟠 内部微服务 | 平台幕后服务代码 |
| 🟠 DevOps工具 | 基础设施自动化脚本 |
⚠️ 注意:这些数据仅是分析推测,实际泄露范围待官方调查报告确认。
三、攻击组织分析:TeamPCP
组织背景
TeamPCP是一个以财务利益为驱动的网络犯罪团体,被Google Threat Intelligence Group以UNC6780代号追踪。其作案手法:
- 不加密受害者系统(与传统勒索软件不同)
- 全力押注数据外泄与声誉施压
- 在暗网出售窃取数据
历史攻击记录
| 时间 | 攻击目标 |
|---|---|
| 2026年5月 | GitHub(本次事件) |
| 2026年5月 | Checkmarx |
| 2026年5月 | SailPoint |
| 2026年5月 | Grafana Labs |
| 2026年4月 | npm/PyPI供应链攻击(170+软件包,5.18亿次下载) |
四、事件时间线
| 时间 | 事件 | 状态 |
|---|---|---|
| 2026年5月19日 | GitHub检测到员工设备被入侵 | 🔴 攻击发现 |
| 2026年5月19日 | 移除恶意扩展,隔离终端设备 | 🔄 应急响应 |
| 2026年5月19日-夜间 | 完成关键密钥轮换 | 🔄 修复中 |
| 2026年5月20日 | GitHub官方发布事件声明 | 📢 公开披露 |
| 待定 | 发布完整调查报告 | ⏳ 待发布 |
五、GitHub应急响应
已采取措施
- ✅ 移除恶意VS Code扩展版本
- ✅ 隔离受影响的终端设备
- ✅ 立即启动事件响应
- ✅ 完成关键密钥轮换(优先处理高风险凭据)
- ✅ 持续分析日志,验证凭证轮换
- ✅ 监控任何后续恶意活动
当前状态
据GitHub评估,此次事件目前仅涉及GitHub内部仓库的外泄。官方正持续分析日志,验证密钥轮换情况,并监控任何后续活动。将在调查完成后发布更完整的报告。
六、安全警示
VS Code扩展风险
安全研究人员指出:VS Code扩展是"狂野西部"(The Wild West)
近期案例:
- 2026年5月18日:Nx Console扩展(220万安装量,认证发行商)在18分钟内被植入恶意代码
- 本次事件:GitHub员工设备被恶意扩展入侵
企业安全建议
- 严格审查开发工具扩展安装
- 对第三方扩展实施白名单制度
- 使用沙箱或虚拟机隔离开发环境
- 定期进行安全意识培训
七、数据价值分析
TeamPCP开价5万美元出售泄露数据,分析师认为这一定价偏低:
| 估值角度 | 潜在价值 |
|---|---|
| 市场报价 | $50,000(TeamPCP开价) |
| 安全研究员评估 | 六位至七位数美元 |
| 核心原因 | 可能包含针对GitHub的零日漏洞 |
八、参考资料
- IT之家 - GitHub确认员工设备被恶意扩展入侵
- PANews - GitHub更新安全事件调查
- OSCHINA - GitHub确认遭入侵:3800个内部仓库被窃取
- Readhub - GitHub确认遭入侵
- Twitter - @im23pds 安全分析
- Aikido Security - VS Code扩展安全分析
总结
这是一起针对全球顶级科技公司的严重供应链攻击事件。攻击者通过恶意VS Code扩展成功渗透GitHub内部网络,窃取了约3800个核心代码仓库。尽管GitHub已采取密钥轮换等应急措施,但被泄露的代码(尤其是Copilot、CodeQL等核心产品)可能带来深远的安全影响。
关键启示:
- 🔒 开发工具的安全性不容忽视 — 即使是GitHub员工也可能中招
- ⚠️ 供应链攻击正在升级 — 从npm包到IDE扩展,防不胜防
- 🏢 即使是顶级科技公司也可能成为受害者 — 没有绝对的安全
📌 本文基于公开信息整理,部分细节可能随调查深入而更新。
整理时间:2026-05-20
喜欢这篇文章的人也看了
评论
匿名评论隐私政策
✅ 你无需删除空行,直接评论以获取最佳展示效果
