GitHub调查约4,000个私有代码库疑似遭窃取
GitHub表示,一名员工设备上的恶意 Visual Studio Code 扩展导致约3,800个内部代码库遭到未授权访问,凸显依赖其开发基础设施的项目面临更广泛的软件供应链风险。
事实核查
五个来源均发表于事件发生当日,即 2026 年 5 月 20 日,并一致证实了该说法的两个组成部分。GitHub 泄露事件已获 cybersecuritynews.com 和 how2shout.com 证实,这两家媒体报道称,约 3,800 个内部代码库通过一名员工受感染设备上的恶意 VS Code 扩展程序被窃取——这与“数千个内部代码库”的表述一致。CZ 关于 API 密钥的警告已获 crypto.news、odaily.news 和 spendnode.io 证实,这三家媒体均称,CZ 在 X 上发文敦促开发者轮换存储在代码中的应用程序接口 (API) 密钥,包括私有代码库中的密钥,这是对 GitHub 事件的直接回应。该说法准确地将此次泄露描述为影响 GitHub 自身内部代码库(而非客户代码库),并正确地将 CZ 的建议界定为面向那些在代码中存有应用程序接口 (API) 密钥的加密货币开发者。唯一轻微的不精确之处在于,该说法称“数千”,而来源具体指出约为 3,800,这两者是一致的。未发现相互矛盾的证据。
摘要
GitHub表示,其于5月19日发现并遏制了对内部代码库的未授权访问。此次漏洞源于一名员工被攻陷设备上的恶意 Visual Studio Code 扩展,使攻击得以实施。该公司称,此次活动涉及 GitHub 内部代码库数据被外传,调查结果与攻击者声称访问了约3,800个代码库基本一致,而更早的报道和攻击者说法提到的则是约4,000个。GitHub表示,尚未发现用户代码库、企业账户或存储在这些内部系统之外的其他客户数据受到影响的证据。该事件被归因于 TeamPCP,Google Threat Intelligence Group 将其识别为 UNC6780。由于包括钱包、交易所、区块链应用和智能合约开发者在内的许多项目都依赖 GitHub 托管的开发工具和共享基础设施,此事加剧了外界对软件供应链风险的担忧。GitHub表示,已移除恶意扩展版本、隔离相关端点并轮换重要密钥;赵长鹏则敦促开发者轮换代码中的任何应用程序接口 (API) 密钥。
术语与概念
- 软件供应链: 用于构建软件的代码、工具、库和平台网络。一次入侵可能将风险扩散至许多依赖它的项目。
- 应用程序接口 (API) 密钥: 应用程序用来访问服务或数据的秘密凭证。如果在代码或代码库中暴露,可能允许未授权操作或账户访问。
- Visual Studio Code 扩展: VS Code 开发环境的附加组件。恶意或被投毒的扩展可能成为针对开发者系统的供应链攻击载体。