GitHub 確認透過惡意 VS Code 擴充功能發生內部儲存庫入侵

GitHub 於週二確認，攻擊者透過被污染的 Visual Studio Code 擴充功能入侵員工裝置，取得其內部儲存庫的未授權存取權。這家由微軟擁有的平台已偵測並控制了此次入侵，移除了惡意擴充功能，隔離了受影響的終端設備，並立即展開事件回應。

该公司表示，目前評估顯示，此次入侵僅涉及 GitHub 內部倉儲的資料外洩。客戶倉儲、企業組織以及存儲於 GitHub 內部系統之外的使用者資料，據信未受影響。

漏洞的規模

GitHub 確認，攻擊者聲稱約有 3,800 個內部儲存庫，與其自身調查的方向一致。威脅組織 TeamPCP 已聲稱對此次入侵負責，並據報正在地下網路犯罪論壇上試圖以超過 $50,000 的價格出售被盜資料集。該組織聲稱，這些資料包括來自約 4,000 個私人儲存庫的專有平台原始碼和內部組織檔案。

GitHub 表示，在檢測到入侵後，已迅速輪換關鍵憑證，並優先處理影響最大的密鑰。該公司正在繼續分析日誌、驗證密鑰輪換，並監控後續活動。

為何內部儲存庫存取如此嚴重

公司表示，沒有證據顯示儲存在內部倉庫之外的客戶資訊受到影響。安全研究人員指出，具體的措辭至關重要。「沒有證據顯示受影響」並不等同於確認客戶資料是安全的，這意味著調查仍在進行中，全面影響範圍尚未確定。

內部倉庫通常包含基礎設施配置、部署腳本、內部 API 文件、預發環境憑證、功能旗標、監控鉤子以及未記錄的服務。存取內部原始碼等同於獲得整個系統架構的藍圖，即使沒有直接存取客戶資料。

安全專業人員也指出，GitHub 明確提及監控後續活動具有重要意義。現代攻擊很少僅止於初始訪問。標準的進展過程通常從初始立足點開始，經過偵察、權限提升、持久化，然後在防禦者認為威脅已被控制後，展開第二波針對性活動。

GitHub 正在進行什麼

GitHub 表示，在檢測到入侵當天，關鍵密鑰已進行輪換，優先處理最敏感的憑證。公司持續監控基礎設施，以排查任何二次活動，並在調查完成後發布更完整的事件報告。若發現對客戶資料有任何影響，將透過既定的事件回應渠道通知客戶。

使用 GitHub 的開發者已被建議審查並輪換存儲在倉庫中的任何 API 密鑰，作為預防措施，即使認為客戶倉庫未直接受影響。