GitHub 漏洞可追溯到中毒的 VS Code 扩展

在线代码存储公司 GitHub 表示，最近其内部数据的泄露源于一名工作人员下载了“中毒”的 VS Code 扩展。

这家微软旗下的公司在今天凌晨首次披露，它正在调查对其内部存储库的未经授权的访问。

此后，GitHub 表示此次泄露仅影响了 GitHub 内部存储库。

它补充说，“攻击者目前声称拥有约 3,800 个存储库，这与我们迄今为止的调查方向一致。”

此次泄露涉及从 Microsoft VS Code 扩展市场下载的恶意 VS Code 扩展。 VS Code 代表 Visual Studio Code，市场提供各种工具和应用程序供代码编辑器下载。

1/ 我们正在分享有关对 GitHub 内部存储库未经授权访问的调查的更多详细信息。昨天，我们检测到并遏制了涉及中毒 VS Code 扩展的员工设备的泄露。我们删除了恶意扩展版本，...

- GitHub (@github) 2026 年 5 月 20 日

GitHub 表示，“调查完成后将发布更全面的报告”。

声称入侵 GitHub 存储库的黑客组织是 TeamPCP，该组织与影响 OpenAI 的 Mini Shai Halud 供应链攻击以及许多其他针对开发者软件的供应链攻击有关。

该组织正在 Breached 黑客论坛上以不低于 5 万美元的价格出售大约 4,000 个私人存储库，同时强调不会接受任何“低价报价”。

它说，“这不是赎金，我们不在乎勒索 GitHub。”据推测，其端的数据将在出售后被“粉碎”，如果找不到买家，TeamPCP 表示将免费泄露数据。

GitHub 表示已删除“恶意扩展”

GitHub 声称它“删除了恶意扩展版本，隔离了端点，并立即开始事件响应”。

该公司表示：“昨天和一夜之间，关键机密已经轮换，影响力最高的凭证将被优先考虑。”并补充说，它将继续监控事态发展。

对这一事件的反应并不宽容。用户注意到对 Microsoft 和 GitHub 前高管的长期抱怨，他们要求为 VS Code 扩展市场中充满恶意软件的下载提供解决方案。

您能解决人们在 vscode 扩展市场中部署恶意软件的问题吗？我厌倦了每周向 [email protected] 发送邮件，修复你该死的市场

- 克拉科维亚 (@krakovia_evm) 2024 年 12 月 19 日

这项投诉是两年前针对 GitHub 前首席执行官的。

币安前首席执行官赵长鹏警告说：“如果你的代码中有 API 密钥，甚至是私人存储库，现在是时候仔细检查并更改它们了……”

编码公司 Treehouse 的首席执行官瑞安·卡森 (Ryan Carson) 也发出了类似的警告：“如果您有任何包含纯文本机密或敏感文档/架构的私人存储库，请立即轮换您的机密。”

加密安全专家泰勒·莫纳汉 (Taylor Monahan) 对赵的声明进行了补充，并表示你应该“从你的存储库中”获取 API 密钥。

“你最大的风险不是这个。而是你自己的开发人员受到这些蠕虫般的供应链之一的打击并泄露了所有这些秘密，”莫纳汉说。

几天内第二次 GitHub 泄露

软件公司 Grafana 本周早些时候也声称，它目睹了对其 GitHub 存储库的未经授权的访问。

它声称攻击者“下载了我们的代码库”，然后“以数据泄露为威胁提出赎金要求”。

⚠️ 2026 年 5 月 16 日，我们确认了一个网络犯罪组织发起的有针对性的攻击，该组织未经授权访问了我们的 GitHub 存储库并下载了我们的代码库。这是有关我们调查的最新消息。 https://t.co/C2btjWDOxu

- Grafana (@grafana) 2026 年 5 月 19 日

在本案中，Grafana 声称此次泄露也源于与 Mini Shai-Hulud 活动相关的供应链攻击。

它说：“我们进行了分析并快速轮换了大量的 GitHub 工作流程令牌，但丢失的令牌导致攻击者获得了对我们 GitHub 存储库的访问权限。随后的审查证实，我们最初认为不受影响的特定 GitHub 工作流程实际上已受到损害。”

2024 年，来自 Binance 的泄露密码和网站代码在 GitHub 上可见数月，最终被删除。

该交易所表示，这些泄密事件可能会造成“严重的财务损失”，并且其数据的上传从未获得授权。

Protos 已联系 GitHub 征求意见，如果我们收到任何回复，我们将更新这篇文章。