GitHub 黑客警报：您现在需要如何使用 API 密钥和凭证

GitHub 周二证实，攻击者通过中毒的 Visual Studio Code 扩展侵入员工设备后，获得了对其内部存储库的未经授权的访问。 Microsoft 拥有的平台检测到并遏制了该漏洞，删除了恶意扩展，隔离了受影响的端点，并立即开始事件响应。

该公司表示，目前的评估是，此次泄露仅涉及 GitHub 内部存储库的泄露。据信，存储在 GitHub 内部系统外部的客户存储库、企业组织和用户数据不会受到影响。

违规规模

GitHub 证实，攻击者声称的大约 3,800 个内部存储库与其自己的调查方向一致。威胁组织 TeamPCP 声称对此次泄露负责，并据报道试图在地下网络犯罪论坛上以超过 50,000 美元的价格出售被盗的数据集。该组织声称这些数据包括来自大约 4,000 个私人存储库的专有平台源代码和内部组织文件。

GitHub 表示，在检测到漏洞后，它迅速采取行动轮换关键凭证，首先优先考虑影响最大的机密。该公司正在继续分析日志、验证秘密轮换并监控后续活动。

为什么内部存储库访问很重要

该公司表示，没有证据表明存储在内部存储库之外的客户信息受到影响。安全研究人员指出，具体措辞很重要。没有影响证据并不能确认客户数据是安全的。这意味着调查正在进行中，完整的爆炸半径尚未确定。

内部存储库通常包含基础设施配置、部署脚本、内部 API 文档、暂存凭证、功能标志、监控挂钩和未记录的服务。即使不直接访问客户数据，对内部源代码的访问也可以有效地提供整个系统架构的蓝图。

安全专业人士还指出 GitHub 明确提到的对后续活动的监控非常重要。现代攻击很少在初始访问时停止。标准的进程是从最初的立足点到侦察、特权升级、持续，然后在防御者认为威胁已得到遏制后进行第二波有针对性的活动。

GitHub 在做什么

GitHub 表示，在检测到漏洞的当天，关键机密就被轮换了，最敏感的凭证首先得到解决。该公司正在继续监控基础设施是否有任何次要活动，并将在调查完成后发布更全面的事件报告。如果发现客户的数据受到任何影响，我们将通过既定的事件响应渠道通知客户。

建议使用 GitHub 的开发人员检查和轮换存储在存储库中的任何 API 密钥，作为预防措施，即使客户存储库据信没有受到直接影响。