Tháng 5/2026, GitHub xác nhận một extension Visual Studio Code bị cài mã độc đã xâm nhập thiết bị của nhân viên và cho phép kẻ tấn công truy cập khoảng 3.800 repository nội bộ. Extension này được cho là đánh cắp thông tin xác thực hoặc token phiên làm việc từ máy lập trình viên, từ đó truy cập hệ thống nội bộ và trí...

Create a landscape editorial hero image for this Studio Global article: What happened in the GitHub breach where a malicious VS Code extension led to the compromise of around 3,800 internal repositories, who was. Article summary: GitHub said an employee device was compromised through a poisoned VS Code extension, enabling unauthorized access to roughly 3,800 internal repositories; the attack was claimed by TeamPCP, the same actor tied to the “Min. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "A Trojanized VS Code Extension Let Hackers Into GitHub's Internal Repositories. GitHub confirmed on May 19–20, 2026, that an attacker accessed and exfiltrated data from roughly 3,8" source context "GitHub Internal Repos Breached via Poisoned VS Code Extension" Reference image 2: visual subject "# GitHub Confirms Breach of 3,800 R
Tháng 5/2026, GitHub xác nhận một sự cố an ninh mạng nghiêm trọng: kẻ tấn công đã truy cập trái phép vào khoảng 3.800 repository nội bộ của công ty sau khi một nhân viên cài đặt extension độc hại cho Visual Studio Code (VS Code).
Điểm đáng chú ý là cuộc tấn công không khai thác lỗ hổng trực tiếp của GitHub, mà lợi dụng môi trường phát triển của lập trình viên – một mắt xích quan trọng trong chuỗi cung ứng phần mềm hiện đại.
GitHub cho biết họ đã nhanh chóng phát hiện và cô lập sự cố. Theo điều tra ban đầu, không có bằng chứng cho thấy repository của khách hàng hoặc dữ liệu người dùng bị ảnh hưởng.
Theo các thông báo chính thức và báo cáo an ninh, sự cố bắt đầu khi một nhân viên GitHub cài đặt một extension VS Code đã bị trojan hóa từ marketplace. Sau khi được cài vào máy, extension này đã chiếm quyền kiểm soát thiết bị.
Từ điểm xâm nhập đó, kẻ tấn công có thể:
Do extension IDE có thể chạy mã trực tiếp trên máy lập trình viên, nó có quyền truy cập rộng vào file dự án, token đăng nhập và môi trường phát triển, khiến đây trở thành mục tiêu tấn công hấp dẫn.
Vụ xâm nhập được nhận trách nhiệm bởi một nhóm tấn công mạng có tên TeamPCP. Nhóm này được cho là đã rao bán mã nguồn và dữ liệu nội bộ của GitHub trên các diễn đàn tội phạm mạng.
Dù GitHub chưa chính thức quy kết thủ phạm trong thông báo ban đầu, nhiều báo cáo bảo mật đã liên hệ hoạt động này với TeamPCP.
Nhóm này đang nổi lên trong năm 2026 với các chiến dịch tấn công chuỗi cung ứng phần mềm (software supply‑chain attack) nhắm vào hệ sinh thái lập trình.
Các extension của VS Code thường có quyền truy cập sâu vào môi trường lập trình. Nếu bị cài mã độc, chúng có thể hoạt động giống như một phần mềm gián điệp.
Trong trường hợp này, extension bị nhiễm độc được cho là đã:
Khi đã có token hợp lệ hoặc phiên đăng nhập còn hiệu lực, kẻ tấn công có thể truy cập các hệ thống nội bộ mà không cần khai thác lỗ hổng hạ tầng của GitHub.
Đây là chiến thuật ngày càng phổ biến: thay vì tấn công nền tảng trực tiếp, hacker xâm nhập thiết bị của lập trình viên rồi di chuyển vào hệ thống nội bộ.
Sau khi phát hiện hoạt động đáng ngờ liên quan đến extension này, GitHub cho biết họ đã triển khai ngay quy trình phản ứng sự cố, bao gồm:
Công ty cũng cho biết họ tiếp tục theo dõi hệ thống để phát hiện bất kỳ hoạt động bất thường nào liên quan đến vụ việc.
Theo đánh giá hiện tại của GitHub, phạm vi sự cố chỉ giới hạn ở các repository nội bộ của công ty.
GitHub cho biết không có bằng chứng cho thấy repository của khách hàng, tổ chức hay tài khoản doanh nghiệp bị ảnh hưởng.
Điều này rất quan trọng vì GitHub là nền tảng lưu trữ mã nguồn cho hàng triệu dự án và tổ chức trên toàn thế giới.
Các nhà nghiên cứu bảo mật cho rằng vụ việc có thể nằm trong chiến dịch supply‑chain rộng lớn hơn mang tên “Mini Shai‑Hulud”, được cho là do TeamPCP thực hiện.
Chiến dịch này đã nhắm vào nhiều thành phần trong hệ sinh thái phát triển phần mềm, bao gồm:
Các gói độc hại trong chiến dịch được thiết kế để đánh cắp secrets như token CI, khóa cloud và thông tin xác thực developer, từ đó giúp kẻ tấn công xâm nhập sâu hơn vào pipeline phát triển phần mềm.
Một số nhà nghiên cứu mô tả đây là dạng tấn công chuỗi cung ứng tự lan truyền, có thể lây qua dependency, package và môi trường phát triển.
Dù vụ việc dường như không ảnh hưởng đến dữ liệu khách hàng, nó cho thấy xu hướng tấn công mới trong an ninh mạng.
Thay vì nhắm trực tiếp vào hạ tầng, hacker đang tập trung vào:
Những môi trường này thường chứa token truy cập, khóa API và đường dẫn vào hệ thống sản xuất, khiến chúng trở thành mục tiêu giá trị cao.
Sự cố tại GitHub là ví dụ rõ ràng: chỉ một công cụ phát triển bị nhiễm độc cũng có thể mở đường cho việc truy cập hàng nghìn repository.
Với các tổ chức phát triển phần mềm hiện đại, bảo mật chuỗi cung ứng — từ package, extension cho tới pipeline tự động — đang trở thành một trong những thách thức an ninh lớn nhất.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Tháng 5/2026, GitHub xác nhận một extension Visual Studio Code bị cài mã độc đã xâm nhập thiết bị của nhân viên và cho phép kẻ tấn công truy cập khoảng 3.800 repository nội bộ.
Tháng 5/2026, GitHub xác nhận một extension Visual Studio Code bị cài mã độc đã xâm nhập thiết bị của nhân viên và cho phép kẻ tấn công truy cập khoảng 3.800 repository nội bộ. Extension này được cho là đánh cắp thông tin xác thực hoặc token phiên làm việc từ máy lập trình viên, từ đó truy cập hệ thống nội bộ và trích xuất dữ liệu trước khi bị phát hiện.
Nhiều báo cáo bảo mật liên hệ vụ việc với nhóm TeamPCP và chiến dịch supply‑chain “Mini Shai‑Hulud”, vốn nhắm vào hệ sinh thái developer như npm, PyPI, CI/CD và các công cụ phát triển.