GitHub 被黑，3800个内部仓库外泄：从一枚恶意VS Code扩展说起

首页 阅读 安全资讯 安全知识 安全工具 活动 社区 学院 安全导航 内容精选 专栏 精选专题 安全KER季刊 360网络安全周报 GitHub 被黑，3800个内部仓库外泄：从一枚恶意VS Code扩展说起 阅读量 5490 发布时间 : 2026-05-21 10:11:45 x 译文声明 本文是翻译文章 译文仅供参考，具体内容表达以及含义原文为准。 2026年5月20日，全球最大代码托管平台GitHub官方确认：公司内部代码仓库遭到未经授权访问，约3800个内部仓库数据外泄。 这起事件的幕后黑手是近期频繁制造供应链攻击的黑客组织TeamPCP。该组织已在暗网论坛公开叫卖GitHub源码，标价不低于5万美元，并扬言”如果不卖给任何人，我们就免费泄露”。 GitHub确认目前仅涉及内部仓库，暂未发现客户数据受到影响，并已紧急轮换关键密钥、隔离受感染终端。但一个让所有人脊背发凉的事实是——攻入GitHub的入口，仅仅是一个被投毒的VS Code浏览器扩展。 一、事件来龙去脉 第一步：投毒开发工具。 攻击者将一个含有恶意代码的VS Code扩展发布到应用市场（具体扩展名称GitHub未披露）。值得注意的是，近期知名开发工具 Nx Console也曾遭类似入侵，被植入多阶段凭据窃取器。 第二步：社工钓鱼渗透。 某GitHub员工在工作设备上安装了这个被污染的扩展，恶意代码随之获得设备访问权限，开始窃取开发凭据、云访问密钥、SSH密钥、密码管理器数据等敏感信息。 第三步：横向扩展与数据外泄。 攻击者利用窃取的凭据进一步访问GitHub内部系统，最终导致约 3800个内部仓库被克隆外泄。GitHub评估称攻击者声称的数据量与其调查结果”方向一致”。 第四步：暗网叫卖。 TeamPCP将窃取的数据挂上网络犯罪论坛，声称”这不是勒索，我们只卖给一个人就删库”。 二、社工钓鱼 + 供应链攻击：这套组合拳为什么致命 这次攻击的精妙之处在于，它同时利用了”人”和”工具链”两个薄弱环节： 1.社工钓鱼——攻破最弱的环节 无论安全架构多么严密，人始终是最大的变量。攻击者不需要找到 GitHub 基础设施的零日漏洞，只需要让一个员工点击安装一个看似正常的开发工具扩展。这类恶意扩展往往伪装成熟门工具，甚至直接劫持合法维护者的账号进行投毒，受害者几乎无从分辨。 2.供应链攻击——信任传递的滥用 现代软件开发高度依赖第三方组件。一个VS Code扩展、一个npm包、一个PyPI库，都可能被注入恶意代码。一旦这些工具被污染，安装它们的每一个开发环境、每一条CI/CD流水线都会瞬间沦陷。 TeamPCP近几个月还通过”Mini Shai-Hulud”蠕虫攻击了多个npm和PyPI包（如@antv系列、durabletask等），这些恶意包在安装或导入时自动执行，窃取云凭据、SSH密钥、密码保险箱数据，甚至通过AWS SSM和Kubernetes自动横向传播到其他服务器。 3.致命组合拳 社工钓鱼负责”敲开门”，供应链攻击负责”铺开面”。前者获取初始立足点，后者利用开发者的信任关系链进行指数级扩散。GitHub员工设备被入侵后，攻击者立刻拥有了大量内部凭据，从而横向移动到核心代码仓库。 三、防护要点：企业和开发者该怎么办 1.对企业管理： 建立开发工具白名单制度。 对VS Code扩展、npm/PyPI依赖包等实行审批和审计，禁止随意安装未经验证的第三方工具。 实施最小权限原则。即使凭据被窃取，也应通过细粒度权限控制限制攻击者的横向移动能力。 密钥轮换自动化。GitHub此次能快速响应的关键在于及时轮换密钥。企业应建立凭据自动轮换机制，缩短凭据有效窗口。 终端EDR部署全覆盖。开发人员的设备应纳入安全监控范围，及时发现异常进程和网络外联行为。 供应链安全审查。对关键依赖包进行来源验证（如npm OIDC发布验证、签名校验），关注安全社区发布的供应链攻击预警。 2.对开发者个人： 安装扩展或依赖包前，核实发布者身份、下载量和近期更新记录。 警惕”热门工具突然改名或更换维护者”的情况。 本地开发环境避免使用高权限账户运行，减少被入侵后的影响面。 定期检查SSH密钥、Token等凭据的有效期，及时撤销不再使用的凭据。 启用硬件安全密钥（如YubiKey）进行多因素认证，降低凭据被盗后的风险。 GitHub这次事件再次提醒我们：在软件供应链高度互联的今天，任何一环的漏洞都可能成为整条链的突破口。安全不是买一套设备就能解决的问题，它需要从工具链到人员意识的系统性建设。 本文翻译自 原文链接 。如若转载请注明出处。 商务合作，文章发布请联系 anquanke@360.cn 本文由 安全客 原创发布 转载，请参考 转载声明 ，注明出处： https://www.anquanke.com/post/id/315560 安全KER - 有思想的安全新媒体 本文转载自: 如若转载,请注明出处： 安全KER - 有思想的安全新媒体 分享到： 供应链攻击 +1 0赞 收藏 安全客 分享到： 发表评论 您还未登录，请先登录。 登录 安全客 这个人太懒了，签名都懒得写一个 文章 2 粉丝 0 TA的文章 GitHub 被黑，3800个内部仓库外泄：从一枚恶意VS Code扩展说起 2026-05-21 10:11:45 NGINX惊爆18年老洞，野外攻击已开始 2026-05-20 16:44:41 相关文章 谷歌BugSWAT | 无恒实验室针对安卓应用的供应链攻击研究 2023-10-26 16:51:19 AT&T供应链被攻击，导致用户数据泄露 2023-03-13 11:30:08 因供应商被攻击，比利时安特卫普市政系统瘫痪 2022-12-09 12:00:51 W4SP恶意软件借供应链攻击，盯上Python开发人员 2022-11-18 14:00:54 供应链攻击，250+家美国新闻网站惨变恶意软件“扩散器” 2022-11-04 12:00:54 经销商遭黑客入侵后，沃达丰意大利披露数据泄露 2022-11-04 10:45:27 汤森路透收集并泄露至少3TB敏感数据 2022-10-28 11:00:05 热门推荐 文章目录 安全KER 关于我们 联系我们 用户协议 隐私协议 商务合作 合作内容 联系方式 友情链接 内容需知 投稿须知 转载须知 官网QQ群：568681302 合作单位 Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66 微信二维码 X