GitHub 安全漏洞：CZ 警告加密货币开发人员立即轮换 API 密钥

在发现对其内部代码存储库进行未经授权的访问后，GitHub 启动了全面的安全调查。该安全事件源于受损的 VS Code 扩展渗透到员工的工作站。 1/ 我们正在分享有关我们对 GitHub 内部存储库未经授权访问的调查的更多详细信息。昨天，我们检测到并遏制了涉及中毒 VS Code 扩展的员工设备的泄露。我们删除了恶意扩展版本…… — GitHub (@github) 2026 年 5 月 20 日微软旗下的平台于周二识别并消除了安全威胁。他们的响应包括删除恶意扩展、隔离受感染的系统以及立即启动事件响应协议。此次泄露导致大约 3,800 个内部代码存储库遭到未经授权的访问。 GitHub 已核实该数字与声称负责的网络犯罪组织的声明相符。黑客组织 TeamPCP 挺身而出，成为此次安全事件的幕后黑手。该组织正在地下论坛上积极推销窃取的数据，声称拥有大约 4,000 个存储库，其中包含来自 GitHub 主要基础设施和内部部门的专有代码。安全研究人员将 TeamPCP 描述为高级威胁参与者，利用广泛的自动化来瞄准开发人员环境，目的是提取有价值的凭据以进行金钱利用。报告显示，他们正在为泄露的信息寻求 50,000 美元的底价。 GitHub 的初步调查表明，没有证据表明存储在其内部存储库之外的客户信息遭到泄露。该平台向用户保证客户存储库、企业安装和组织帐户不受影响。该开发平台已经循环使用了关键的身份验证凭据，最初的工作重点是最敏感的访问令牌。他们的安全团队继续检查系统日志，并对任何后续恶意行为保持警惕。 GitHub 承诺在调查完成后发布一份全面的事后分析报告。币安创始人赵长鹏对安全披露事件做出了快速回应。他强烈建议加密货币开发人员立即循环使用源代码中嵌入的所有 API 凭据，尤其是私有存储库中的 API 凭据。 “如果你的代码中有 API 密钥，甚至是私人存储库，现在是时候仔细检查和更改它们了，”赵说。加密货币开发人员广泛依赖 GitHub 来构建和维护去中心化应用程序和基础设施。交易所 API 凭证、钱包访问密钥和基础设施身份验证令牌经常嵌入存储库中，以便部署在自动交易系统、区块链应用程序和开发工具中。网络安全专业人士建议开发人员使用 GitHub Secret Scanning、gitleaks 或 Trivy 等专用工具对嵌入式机密进行彻底扫描。他们还强烈建议放弃直接在版本控制存储库中硬编码敏感凭据的做法。此次安全事件紧随 Grafana Labs 的另一次泄露事件之后，该实验室周二披露了一次供应链攻击。威胁行为者渗透了他们的 GitHub 基础设施并发出勒索要求，但该公司拒绝满足。 4 月 28 日严重安全漏洞 CVE-2026-3854 被曝光后不久，GitHub 也出现了泄露。这一特殊缺陷使经过身份验证的用户能够在 GitHub 的服务器基础设施上执行未经授权的命令，并可能危及数百万公共和私人代码存储库。 GitHub 表示将持续监控其技术基础设施，并在整个调查过程中提供持续更新。