GitHub 确认恶意 VS Code 扩展入侵，约 3800 个内部仓库遭窃

GitHub 于 5 月 20 日在 X 公布安全事件调查更新，确认一名员工设备通过被植入恶意程序的 VS Code 扩展遭到入侵，导致约 3,800 个内部仓库被窃取。GitHub 表示，没有证据表明存放在 GitHub 内部代码库之外的客户信息受到影响。GitHub 已移除恶意扩展、隔离受影响终端、轮换关键凭证。

GitHub 确认的安全事件细节

根据 GitHub 官方 X 帖子确认：

受影响范围：约 3,800 个 GitHub 内部仓库（攻击者声称数量与 GitHub 调查结果基本一致）

根本原因：员工设备被入侵

攻击途径：被植入恶意代码的 VS Code 扩展（开发者供应链攻击）

客户影响：GitHub 确认“严格限制在 GitHub 内部代码库的资料泄露”，未发现对客户数据、企业、组织或仓库造成影响的证据

威胁行为者的确认情况

根据 Dark Web Informer（威胁情报机构）披露：化名 TeamPCP 的威胁行为者在 GitHub 公告前就已在暗网上发布销售 GitHub 内部源码和组织数据的商品信息。H2S Media 报道确认，TeamPCP 与 Shai-Hulud 蠕虫恶意软件背后的组织为同一组织，该恶意软件最近在开源程序库中造成广泛感染。

已采取的确认应对措施

根据 GitHub 官方声明确认：

已完成：移除恶意 VS Code 扩展、隔离受影响终端、优先轮换影响最大的关键凭证（于事件发现当日及当夜完成）

进行中：分析日志、验证凭证轮换情况、监控后续活动、全面事件响应调查

计划中：调查结束后发布完整报告；如发现更广泛影响，将通过现有事件响应管道通知客户

GitHub 近期安全事件确认背景

根据 H2S Media 报道确认的近期时间线：

三周前：Wiz 研究人员披露 CVE-2026-3854，一个严重的远程代码执行（RCE）漏洞，允许任何已验证用户通过一条 git push 命令在 GitHub 后端服务器执行任意命令

上周：SailPoint GitHub 代码库因第三方应用程序漏洞遭到入侵

2026 年 5 月 17 日：Grafana Labs 确认 GitHub 令牌遭到泄露，威胁行为者获得仓库访问权并试图勒索

常见问题

此次入侵是否影响 GitHub 的公开仓库或使用者仓库？

根据 GitHub 官方声明，资料泄露“严格限制在 GitHub 内部仓库”，目前没有证据表明客户数据、企业、组织或仓库受到影响。面向客户的系统未受波及。

此次攻击入口是什么，如何防范？

根据 GitHub 确认，攻击途径是被植入恶意代码的 VS Code 扩展，属于开发者供应链攻击。币安创始人 CZ 建议：“私有仓库中的 API 金钥应立即进行审查和更换。”

GitHub 何时会发布完整事件报告？

根据 GitHub 官方声明，完整报告将于调查结束后发布，但具体时间尚未公告。