GitHub泄露通过VS Code漏洞暴露内部代码库

GitHub泄露通过VS Code漏洞暴露内部代码库 - Blockchain.News

GitHub于2026年5月20日宣布，攻击者通过恶意的Visual Studio Code (VS Code)扩展程序攻击了一名员工的设备，从而获得对其内部代码库的未经授权访问。尽管此次泄露据称仅限于GitHub的内部基础设施，但它凸显了针对开发者生态系统的供应链攻击日益增长的风险。

GitHub在声明中表示，其于5月19日发现并遏制了这一入侵行为，已移除恶意扩展并隔离受影响的系统。平台向用户保证，目前“没有证据表明存储在GitHub内部代码库之外的客户信息受到影响。”相关后续活动的监控仍在进行中。

TeamPCP声称负责

一个名为TeamPCP的黑客组织声称对此次泄露负责。据报道，该组织正试图出售被盗数据，并声称持有“4,000个与GitHub主平台和内部组织项目相关的私人代码库”。TeamPCP因利用被攻破的开发工具窃取凭据并从泄露中获利而声名狼藉。

安全专家警示了潜在的下游风险。内部代码库可能包含敏感的CI/CD配置、基础设施即代码脚本或安全工具，攻击者可能利用这些资源针对更广泛的系统发起攻击。币安CEO赵长鹏警告开发者“即使是私人代码库中的API密钥，也要仔细检查并替换。”

GitHub此次泄露是2026年一系列针对开发者平台的供应链攻击中的最新事件。就在前一天，Grafana Labs披露了一起由勒索软件驱动的供应链攻击，暴露了其自己的GitHub代码库。今年早些时候，Checkmarx的GitHub代码库被攻破，进一步突显了开发者生态系统中凭据窃取活动的日益频繁。

更广泛的安全问题也令人担忧。GitHub自身在2026年4月28日披露了一项关键漏洞(CVE-2026-3854)，该漏洞允许经过身份验证的用户在其服务器上执行任意命令。尽管这些事件似乎彼此独立，但它们清晰地展现了开发者和平台运营商面临的来自日益复杂威胁行为者的风险提升。

GitHub是全球开发者社区的支柱，为个人和企业托管开源项目和私人代码库。其内部系统的泄露可能会削弱对其平台的信任，尤其是在攻击者获取敏感数据并进一步对下游用户展开攻击的情况下。这一事件凸显了不仅开发者自身，还包括支持开发者的平台，需要更强大的供应链安全措施。

目前，GitHub将此次泄露归类为“内部代码库访问调查”，而非客户数据泄露。然而，建议使用GitHub的开发者和组织审查其安全实践，特别是与API密钥、密钥管理和依赖项卫生相关的部分。

此次泄露还引发了对流行开发工具（如VS Code）的安全性的质疑，强调在选择和监控第三方扩展时需要保持警惕。

Image source: Shutterstock