GitHub 確認有 3,800 個內部儲存庫透過被污染的 VS Code 插件遭竊取

ME News 消息，5 月 20 日（UTC+8），據動察 Beating 監測，GitHub 官方發布安全調查公告，確認因一名員工設備感染了被投毒的 VS Code 插件，導致其內部代碼倉庫遭遇未經授權的訪問。攻擊者聲稱已打包竊取了 GitHub 約 3800 個內部倉庫，官方承認此說法與目前的調查結果在方向上一致。涉事惡意插件為 5 月 18 日在微軟 Visual Studio Code 市場短暫上架的知名擴展 Nx Console（v18.95.0 版本）。攻擊者透過竊取貢獻者 Token 獲得了發布權限，將包含憑證竊取器的惡意版本推送至應用市場。雖然 Nx 團隊在 11 分鐘內就檢測到異常並撤下了此版本，但依然有 GitHub 員工在此期間下載並中招。此惡性載荷在後台會自動讀取主機的 Git 憑證、VS Code 擴展存儲、AWS 密鑰及 1Password 敏感數據。這套憑證讓外部攻擊者得以繞過外圍的安全阻隔，直接打包竊取了 GitHub 內部的代碼庫。GitHub 表示已在 5 月 19 日檢測並控制了這起設備入侵。為了降低風險，安全團隊在昨天及夜間加急輪換了所有關鍵密鑰，並對高價值憑證進行了優先處理。目前團隊正持續分析日誌並監控後續活動，完整報告將在調查結束後公布。（來源：BlockBeats）