GitHub安全事故：惡意VS Code Extension令約3,800個內部Repository被盜

GitHub表示，在發現異常後已立即採取以下措施：

• 偵測並阻止入侵行為
• 從VS Code Marketplace移除惡意extension
• 隔離受影響的員工裝置
• 啟動完整的內部安全調查

公司目前的評估是，資料外洩 只涉及GitHub內部repository。

GitHub：暫未發現客戶資料受影響

對許多使用者最關心的問題是：GitHub上的私人或公開repo是否被盜？

GitHub公開聲明指出，目前 沒有證據顯示客戶資料或客戶repositories受到影響。

換句話說：

• 客戶託管在GitHub上的public或private repo未被證實外洩
• 企業客戶資料暫未發現被存取
• 已知影響範圍集中在GitHub自身內部程式碼

不過公司也表示調查仍在進行，並持續監控是否出現後續攻擊活動。

TeamPCP黑客組織聲稱負責

一個名為 TeamPCP 的威脅組織公開聲稱是這次事件的幕後黑手。

該組織據報在一個網絡犯罪論壇上發帖，宣稱已取得GitHub的源碼及內部資料，並開始尋找買家。

部分安全研究人員將TeamPCP與一個被稱為 UNC6780 的威脅集群聯繫起來，但相關歸因仍未完全確定，GitHub亦未正式確認。

有報導指，黑客嘗試以 數萬美元 的價格出售被盜資料。

更大的問題：軟件供應鏈攻擊

這次事件最值得關注的，其實不是GitHub本身，而是背後的攻擊模式。

近年來，黑客越來越少直接攻擊企業主系統，而是轉而鎖定 開發工具與軟件供應鏈。

常見目標包括：

• VS Code extensions
• npm 或 PyPI 套件
• CI/CD pipeline
• container images
• 開發者常用工具

原因很簡單：只要攻陷一個被大量開發者信任的工具，就可能影響無數系統。

安全研究亦顯示，這類攻擊正在迅速增加。例如有分析指出，開源生態系統中已發現大量惡意套件與持續性的供應鏈攻擊活動。

從事件得到的安全教訓

對依賴開發工具的公司而言，這次事件帶來幾個重要警示：

• 對開發工具插件實施 allow‑list（只允許批准的extension）
• 監控開發者電腦的可疑活動
• 對repository存取採用最小權限
• 定期輪換API token與憑證
• 部署自動化secret掃描與依賴安全工具

開發者電腦通常擁有大量權限，包括repo存取權、CI/CD流程、甚至雲端憑證。一旦開發工具被入侵，攻擊者往往能深入整個企業基礎設施。

開發工具已成為新戰場

GitHub事件再次說明：現代軟件安全不再只關乎伺服器，而是整個開發生態系統。

當黑客把目標轉向插件、套件庫與開發工具時，一個看似普通的extension，都可能成為攻入大型科技平台的入口。

即使GitHub目前表示客戶資料未受影響，這次事件仍然凸顯一個現實：在今日的軟件世界裡，保護開發者使用的工具，已經成為網絡安全的核心課題。