2026年5月19日,GitHub官方确认正在调查一起严重的内部仓库入侵事件。臭名昭著的威胁组织TeamPCP在暗网论坛声称窃取了约4000个GitHub内部仓库的私有代码,并开价至少5万美元出售。GitHub随后确认约3800个内部仓库受到影响。
同日,GitHub在X平台发布初步声明,表示正在调查对其内部仓库的未授权访问,目前无证据表明客户数据(企业、组织和仓库)受到影响。5月20日,GitHub更新声明,确认检测到并控制了一起涉及被投毒Microsoft Visual Studio Code扩展的员工设备入侵事件,也正式确认约3800个内部仓库被窃取,称攻击者的声明与调查方向一致。
GitHub披露,攻击者通过向Microsoft Visual Studio Code扩展注入恶意代码实施入侵。虽然GitHub未公开具体扩展名称,但值得注意的是,Nx Console扩展近期刚遭受类似攻击,威胁者推送了多阶段凭证窃取器和供应链投毒工具,Nx团队已承认“极少数用户受到影响”。
作为风险缓解措施,GitHub已轮换关键密钥,并优先处理最高影响的凭证。
TeamPCP是一个多产且极具威胁性的网络犯罪组织,此前已实施多起针对开发者平台的供应链攻击。2025年3月,入侵Aqua Security的Trivy漏洞扫描器,导致连锁反应,影响Aqua Security Docker镜像和Checkmarx KICS项目;2025年4月,入侵LiteLLM开源Python库,感染数万台设备“TeamPCP Cloud Stealer”信息窃取恶意软件;2026年5月,发动“Mini Shai - Hulud”供应链攻击活动,入侵TanStack、Mistral AI、Guardrails AI等多个包,影响两名OpenAI员工设备。
就在GitHub入侵事件曝光的同时,TeamPCP的Mini Shai - Hulud蠕虫攻击仍在持续扩大。最新受害者是Microsoft官方的durabletask PyPI包。攻击者通过之前攻击入侵的GitHub账户,从该用户有权限访问的仓库转储GitHub密钥,进而获得直接发布到PyPI的token。
此次GitHub事件暴露出企业在员工设备软件管理上的漏洞,对扩展的安全性审核不足。企业需重视供应链安全,对第三方软件和扩展进行严格审查。同时,要建立更完善的事件响应机制,在攻击发生时能快速控制局面。
编辑观点:网络安全威胁不断升级,企业不能再忽视安全防护。GitHub事件为全行业敲响警钟,需从技术和管理层面全面提升安全防御能力,避免类似事件再次发生。
;RGRRQPIPKA)
背后的技术雄心)
