Một extension VS Code bị cài mã độc đã dẫn tới vụ rò rỉ 3.800 repository nội bộ của GitHub như thế nào?

Từ điểm xâm nhập đó, kẻ tấn công có thể:

• Thu thập thông tin xác thực như mật khẩu hoặc token phiên
• Sử dụng thông tin này để truy cập hệ thống nội bộ GitHub
• Truy cập và trích xuất dữ liệu từ khoảng 3.800 repository nội bộ của GitHub

Do extension IDE có thể chạy mã trực tiếp trên máy lập trình viên, nó có quyền truy cập rộng vào file dự án, token đăng nhập và môi trường phát triển, khiến đây trở thành mục tiêu tấn công hấp dẫn.

Ai đứng sau cuộc tấn công

Vụ xâm nhập được nhận trách nhiệm bởi một nhóm tấn công mạng có tên TeamPCP. Nhóm này được cho là đã rao bán mã nguồn và dữ liệu nội bộ của GitHub trên các diễn đàn tội phạm mạng.

Dù GitHub chưa chính thức quy kết thủ phạm trong thông báo ban đầu, nhiều báo cáo bảo mật đã liên hệ hoạt động này với TeamPCP.

Nhóm này đang nổi lên trong năm 2026 với các chiến dịch tấn công chuỗi cung ứng phần mềm (software supply‑chain attack) nhắm vào hệ sinh thái lập trình.

Extension VS Code độc hại hoạt động ra sao

Các extension của VS Code thường có quyền truy cập sâu vào môi trường lập trình. Nếu bị cài mã độc, chúng có thể hoạt động giống như một phần mềm gián điệp.

Trong trường hợp này, extension bị nhiễm độc được cho là đã:

• Thu thập token xác thực và thông tin đăng nhập
• Theo dõi môi trường phát triển của lập trình viên
• Trích xuất dữ liệu từ repository hoặc phiên làm việc

Khi đã có token hợp lệ hoặc phiên đăng nhập còn hiệu lực, kẻ tấn công có thể truy cập các hệ thống nội bộ mà không cần khai thác lỗ hổng hạ tầng của GitHub.

Đây là chiến thuật ngày càng phổ biến: thay vì tấn công nền tảng trực tiếp, hacker xâm nhập thiết bị của lập trình viên rồi di chuyển vào hệ thống nội bộ.

GitHub đã phản ứng như thế nào

Sau khi phát hiện hoạt động đáng ngờ liên quan đến extension này, GitHub cho biết họ đã triển khai ngay quy trình phản ứng sự cố, bao gồm:

• Gỡ bỏ phiên bản extension độc hại khỏi VS Code Marketplace
• Cô lập thiết bị nhân viên bị xâm nhập
• Thay đổi và xoay vòng các thông tin xác thực quan trọng
• Khởi động cuộc điều tra an ninh toàn diện

Công ty cũng cho biết họ tiếp tục theo dõi hệ thống để phát hiện bất kỳ hoạt động bất thường nào liên quan đến vụ việc.

Dữ liệu khách hàng có bị ảnh hưởng không?

Theo đánh giá hiện tại của GitHub, phạm vi sự cố chỉ giới hạn ở các repository nội bộ của công ty.

GitHub cho biết không có bằng chứng cho thấy repository của khách hàng, tổ chức hay tài khoản doanh nghiệp bị ảnh hưởng.

Điều này rất quan trọng vì GitHub là nền tảng lưu trữ mã nguồn cho hàng triệu dự án và tổ chức trên toàn thế giới.

Liên hệ với chiến dịch “Mini Shai‑Hulud”

Các nhà nghiên cứu bảo mật cho rằng vụ việc có thể nằm trong chiến dịch supply‑chain rộng lớn hơn mang tên “Mini Shai‑Hulud”, được cho là do TeamPCP thực hiện.

Chiến dịch này đã nhắm vào nhiều thành phần trong hệ sinh thái phát triển phần mềm, bao gồm:

• các gói npm
• thư viện trên PyPI
• pipeline CI/CD
• công cụ và extension dành cho lập trình viên

Các gói độc hại trong chiến dịch được thiết kế để đánh cắp secrets như token CI, khóa cloud và thông tin xác thực developer, từ đó giúp kẻ tấn công xâm nhập sâu hơn vào pipeline phát triển phần mềm.

Một số nhà nghiên cứu mô tả đây là dạng tấn công chuỗi cung ứng tự lan truyền, có thể lây qua dependency, package và môi trường phát triển.

Vì sao sự cố này đáng lo ngại

Dù vụ việc dường như không ảnh hưởng đến dữ liệu khách hàng, nó cho thấy xu hướng tấn công mới trong an ninh mạng.

Thay vì nhắm trực tiếp vào hạ tầng, hacker đang tập trung vào:

• máy làm việc của lập trình viên
• dependency mã nguồn mở
• hệ thống CI/CD
• plugin và extension IDE

Những môi trường này thường chứa token truy cập, khóa API và đường dẫn vào hệ thống sản xuất, khiến chúng trở thành mục tiêu giá trị cao.

Sự cố tại GitHub là ví dụ rõ ràng: chỉ một công cụ phát triển bị nhiễm độc cũng có thể mở đường cho việc truy cập hàng nghìn repository.

Với các tổ chức phát triển phần mềm hiện đại, bảo mật chuỗi cung ứng — từ package, extension cho tới pipeline tự động — đang trở thành một trong những thách thức an ninh lớn nhất.