GitHub 確認惡意 VS Code 擴展入侵，約 3800 個內部倉庫遭竊

GitHub 於 5 月 20 日在 X 公布安全事件調查更新，確認一名員工設備透過被植入惡意程式的 VS Code 擴展遭到入侵，導致約 3,800 個內部倉庫被竊取。GitHub 表示，沒有證據表明儲存在 GitHub 內部程式碼庫之外的客戶資訊受到影響。GitHub 已移除惡意擴展、隔離受影響終端、輪換關鍵憑證。

GitHub 確認的安全事件細節

根據 GitHub 官方 X 帖子確認：

受影響範圍：約 3,800 個 GitHub 內部倉庫（攻擊者聲稱數量與 GitHub 調查結果基本一致）

根本原因：員工設備被入侵

攻擊途徑：被植入惡意程式碼的 VS Code 擴展（開發者供應鏈攻擊）

客戶影響：GitHub 確認「嚴格限制在 GitHub 內部程式碼庫的資料外洩」，未發現對客戶資料、企業、組織或倉庫造成影響的證據

威脅行為者的確認情況

根據 Dark Web Informer（威脅情報機構）披露：化名 TeamPCP 的威脅行為者在 GitHub 公告前就已在暗網上發布銷售 GitHub 內部源碼和組織數據的商品資訊。H2S Media 報道確認，TeamPCP 與 Shai-Hulud 蠕蟲惡意軟體背後的組織為同一組織，該惡意軟體最近在開源程式庫中造成廣泛感染。

已採取的確認應對措施

根據 GitHub 官方聲明確認：

已完成：移除惡意 VS Code 擴展、隔離受影響終端、優先輪換影響最大的關鍵憑證（於事件發現當日及當夜完成）

進行中：分析日誌、驗證憑證輪換情況、監控後續活動、全面事件響應調查

計劃中：調查結束後發布完整報告；如發現更廣泛影響，將透過現有事件響應管道通知客戶

GitHub 近期安全事件確認背景

根據 H2S Media 報道確認的近期時間線：

三週前：Wiz 研究人員披露 CVE-2026-3854，一個嚴重的遠端程式碼執行（RCE）漏洞，允許任何已驗證用戶透過一條 git push 命令在 GitHub 後端伺服器執行任意命令

上週：SailPoint GitHub 程式碼庫因第三方應用程式漏洞遭到入侵

2026 年 5 月 17 日：Grafana Labs 確認 GitHub 令牌遭到洩露，威脅行為者獲得倉庫訪問權並試圖勒索

常見問題

此次入侵是否影響 GitHub 的公開倉庫或使用者倉庫？

根據 GitHub 官方聲明，資料外洩「嚴格限制在 GitHub 內部倉庫」，目前沒有證據表明客戶資料、企業、組織或倉庫受到影響。面向客戶的系統未受波及。

此次攻擊入口是什麼，如何防範？

根據 GitHub 確認，攻擊途徑是被植入惡意程式碼的 VS Code 擴展，屬於開發者供應鏈攻擊。幣安創始人 CZ 建議：「私有倉庫中的 API 金鑰應立即進行審查和更換。」

GitHub 何時會發布完整事件報告？

根據 GitHub 官方聲明，完整報告將在調查結束後發布，但具體時間尚未公告。