2026年5月20日,全球最大代码托管平台GitHub官方确认:公司内部代码仓库遭到未经授权访问,约3800个内部仓库数据外泄。
这起事件的幕后黑手是近期频繁制造供应链攻击的黑客组织TeamPCP。该组织已在暗网论坛公开叫卖GitHub源码,标价不低于5万美元,并扬言”如果不卖给任何人,我们就免费泄露”。
GitHub确认目前仅涉及内部仓库,暂未发现客户数据受到影响,并已紧急轮换关键密钥、隔离受感染终端。但一个让所有人脊背发凉的事实是——攻入GitHub的入口,仅仅是一个被投毒的VS Code浏览器扩展。
一、事件来龙去脉
第一步:投毒开发工具。
攻击者将一个含有恶意代码的VS Code扩展发布到应用市场(具体扩展名称GitHub未披露)。值得注意的是,近期知名开发工具 Nx Console也曾遭类似入侵,被植入多阶段凭据窃取器。
第二步:社工钓鱼渗透。
某GitHub员工在工作设备上安装了这个被污染的扩展,恶意代码随之获得设备访问权限,开始窃取开发凭据、云访问密钥、SSH密钥、密码管理器数据等敏感信息。
第三步:横向扩展与数据外泄。
攻击者利用窃取的凭据进一步访问GitHub内部系统,最终导致约 3800个内部仓库被克隆外泄。GitHub评估称攻击者声称的数据量与其调查结果”方向一致”。
第四步:暗网叫卖。
TeamPCP将窃取的数据挂上网络犯罪论坛,声称”这不是勒索,我们只卖给一个人就删库”。
二、社工钓鱼 + 供应链攻击:这套组合拳为什么致命
这次攻击的精妙之处在于,它同时利用了”人”和”工具链”两个薄弱环节:
1.社工钓鱼——攻破最弱的环节
无论安全架构多么严密,人始终是最大的变量。攻击者不需要找到 GitHub 基础设施的零日漏洞,只需要让一个员工点击安装一个看似正常的开发工具扩展。这类恶意扩展往往伪装成熟门工具,甚至直接劫持合法维护者的账号进行投毒,受害者几乎无从分辨。
2.供应链攻击——信任传递的滥用
现代软件开发高度依赖第三方组件。一个VS Code扩展、一个npm包、一个PyPI库,都可能被注入恶意代码。一旦这些工具被污染,安装它们的每一个开发环境、每一条CI/CD流水线都会瞬间沦陷。
TeamPCP近几个月还通过”Mini Shai-Hulud”蠕虫攻击了多个npm和PyPI包(如@antv系列、durabletask等),这些恶意包在安装或导入时自动执行,窃取云凭据、SSH密钥、密码保险箱数据,甚至通过AWS SSM和Kubernetes自动横向传播到其他服务器。
3.致命组合拳
社工钓鱼负责”敲开门”,供应链攻击负责”铺开面”。前者获取初始立足点,后者利用开发者的信任关系链进行指数级扩散。GitHub员工设备被入侵后,攻击者立刻拥有了大量内部凭据,从而横向移动到核心代码仓库。
三、防护要点:企业和开发者该怎么办
1.对企业管理:
建立开发工具白名单制度。 对VS Code扩展、npm/PyPI依赖包等实行审批和审计,禁止随意安装未经验证的第三方工具。
实施最小权限原则。即使凭据被窃取,也应通过细粒度权限控制限制攻击者的横向移动能力。
密钥轮换自动化。GitHub此次能快速响应的关键在于及时轮换密钥。企业应建立凭据自动轮换机制,缩短凭据有效窗口。
终端EDR部署全覆盖。开发人员的设备应纳入安全监控范围,及时发现异常进程和网络外联行为。
供应链安全审查。对关键依赖包进行来源验证(如npm OIDC发布验证、签名校验),关注安全社区发布的供应链攻击预警。
2.对开发者个人:
安装扩展或依赖包前,核实发布者身份、下载量和近期更新记录。
警惕”热门工具突然改名或更换维护者”的情况。
本地开发环境避免使用高权限账户运行,减少被入侵后的影响面。
定期检查SSH密钥、Token等凭据的有效期,及时撤销不再使用的凭据。
启用硬件安全密钥(如YubiKey)进行多因素认证,降低凭据被盗后的风险。
GitHub这次事件再次提醒我们:在软件供应链高度互联的今天,任何一环的漏洞都可能成为整条链的突破口。安全不是买一套设备就能解决的问题,它需要从工具链到人员意识的系统性建设。
发表评论
您还未登录,请先登录。
登录