5月22日消息,全球最大代码托管平台GitHub官方确认,一名员工安装了恶意VS Code扩展插件,导致约3800个内部源码仓库被窃取,黑客组织已公开叫卖,起价5万美元。
根据GitHub的说法,问题源于一名员工安装了被投毒的VS Code扩展,攻击者借此控制了该员工设备,进而访问了GitHub内部代码仓库。
发现异常后,GitHub迅速下架了恶意插件版本、隔离受影响终端,并启动安全事件响应流程,GitHub初步调查认为,攻击者声称窃取约3800个仓库的说法与官方掌握的信息基本一致。
随后名为TeamPCP的黑客组织发帖,声称获取了GitHub源代码及约4000个私有代码仓库,起售价5万美元。
从TeamPCP公布的目录和截图来看,被盗数据涉及GitHub Copilot、GitHub Enterprise Server等关键项目,以及Red Team、安全风险报告、XSS强化补丁等高度敏感功能库。
TeamPCP并非无名之辈,此前已先后入侵Trivy、Checkmarx KICS、LiteLLM及Mistral AI等顶级开源项目和科技公司源码库。
一个VS Code插件为何能造成如此严重的后果,答案在于插件本身拥有极高权限——可以读取本地项目文件、扫描开发目录、获取环境变量、调用终端命令、访问Git凭据、与远程服务器通信。
而在大型科技公司里,一个员工的开发机往往连接着大量核心系统,攻击者甚至不需要正面突破公司服务器,只需"攻陷开发者"即可。
GitHub已开始全面调查,承诺在收集完所有证据后发布完整安全报告。
