2026年5月、GitHubは従業員がインストールした悪意あるVS Code拡張機能が原因で端末が侵害され、約3,800の内部リポジトリに不正アクセスがあったと確認した。[3][4] 拡張機能は認証情報やセッショントークンを窃取した可能性があり、攻撃者はそれを使ってGitHubの内部システムへアクセスしデータを持ち出したとみられる。[6][7] 攻撃はハッカー集団TeamPCPによるものと主張されており、npmやPyPIなどを狙う「Mini Shai‑Hulud」サプライチェーン攻撃キャンペーンとの関連が指摘されている。[8][33]

Create a landscape editorial hero image for this Studio Global article: What happened in the GitHub breach where a malicious VS Code extension led to the compromise of around 3,800 internal repositories, who was. Article summary: GitHub said an employee device was compromised through a poisoned VS Code extension, enabling unauthorized access to roughly 3,800 internal repositories; the attack was claimed by TeamPCP, the same actor tied to the “Min. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "A Trojanized VS Code Extension Let Hackers Into GitHub's Internal Repositories. GitHub confirmed on May 19–20, 2026, that an attacker accessed and exfiltrated data from roughly 3,8" source context "GitHub Internal Repos Breached via Poisoned VS Code Extension" Reference image 2: visual subject "# GitHub Confirms Breach of 3,800 R
2026年5月、GitHubはセキュリティインシデントを公表しました。きっかけは一見ありふれた出来事――従業員がVisual Studio Code(VS Code)の拡張機能をインストールしたことでした。
しかしその拡張機能は改ざんされており、結果として攻撃者はGitHubの約3,800の内部リポジトリに不正アクセスすることに成功しました。
GitHubによる調査では、顧客のリポジトリや企業アカウント、外部ユーザーのデータに影響した証拠は現時点で確認されていないとしています。
GitHubの説明やセキュリティ報道によると、事件の発端は従業員がVS Codeの拡張マーケットプレイスからトロイの木馬化された拡張機能をインストールしたことでした。
この拡張機能は端末上で実行され、攻撃者に次のような足がかりを与えたとみられています。
その結果、攻撃者はGitHubのインフラそのものを直接突破するのではなく、従業員の開発環境を経由して内部リポジトリへアクセスしました。
この侵害については、TeamPCPと呼ばれる脅威アクターが犯行を主張しています。
同グループは、GitHubのソースコードや内部組織情報をサイバー犯罪フォーラムで販売すると主張したと報じられています。
GitHub自身は当初、特定の攻撃者への正式な帰属は発表していませんが、複数のセキュリティ報道でTeamPCPとの関連が指摘されています。
VS Codeの拡張機能は、開発者の環境でコードを実行できるため、次のような広い権限を持ちます。
今回のケースでは、拡張機能が認証トークンやセッション情報を盗み出した可能性があり、その情報を使って攻撃者がGitHub内部のリポジトリにアクセスしたと考えられています。
これは最近増えている攻撃手法の典型例です。つまり、サービス本体を直接攻撃するのではなく、信頼された開発ツールを乗っ取って内部へ侵入するというものです。
GitHubは不審な挙動を検知した後、インシデントを迅速に封じ込めたとしています。主な対応は次の通りです。
同社は現在も、関連する追加の不正活動がないかインフラの監視を続けています。
GitHubの調査によると、影響はGitHub社内の内部リポジトリに限定されている可能性が高いとされています。
同社は、以下について影響の証拠は見つかっていないと説明しています。
つまり、被害はGitHubの内部エンジニアリング環境に限られているとみられています。
研究者の間では、この事件がTeamPCPによる広範な攻撃キャンペーンの一部である可能性が指摘されています。
そのキャンペーンが**「Mini Shai‑Hulud」**と呼ばれるサプライチェーン攻撃です。
この活動では、開発者エコシステムのさまざまな要素が標的になっています。
マルウェアはクラウド資格情報やCIトークンなどの機密情報を収集する設計になっており、開発パイプラインのさらに奥へ侵入することを目的としています。
今回の事件で特に注目されているのは、開発ツール自体が攻撃の入口になった点です。
近年のサイバー攻撃では、次のような環境が狙われる傾向が強まっています。
これらの環境には、本番システムへつながる認証情報や秘密鍵が存在することが多く、攻撃者にとって非常に価値の高いターゲットです。
今回のGitHubのケースは、たった1つの開発ツールが侵害されるだけで、数千のリポジトリにアクセスされ得るという、ソフトウェアサプライチェーンの新たなリスクを浮き彫りにしました。
調査は継続中ですが、この事件は「開発者ツールのセキュリティ」そのものが、今やプラットフォームと同じくらい重要であることを示す象徴的な例といえます。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026年5月、GitHubは従業員がインストールした悪意あるVS Code拡張機能が原因で端末が侵害され、約3,800の内部リポジトリに不正アクセスがあったと確認した。[3][4]
2026年5月、GitHubは従業員がインストールした悪意あるVS Code拡張機能が原因で端末が侵害され、約3,800の内部リポジトリに不正アクセスがあったと確認した。[3][4] 拡張機能は認証情報やセッショントークンを窃取した可能性があり、攻撃者はそれを使ってGitHubの内部システムへアクセスしデータを持ち出したとみられる。[6][7]
攻撃はハッカー集団TeamPCPによるものと主張されており、npmやPyPIなどを狙う「Mini Shai‑Hulud」サプライチェーン攻撃キャンペーンとの関連が指摘されている。[8][33]