🚨 緊報：GitHubは内部リポジトリの侵害を確認しました。

攻撃者は、毒されたVisual Studio Codeの拡張機能を通じて従業員のデバイスを侵害しました。その単一のエンドポイントから、彼らは内部のGitHubリポジトリに侵入し、秘密情報を漏洩させ、約4,000のプライベートリポジトリのソースコードと内部組織データを持ち出したと主張しています。
脅威アクターのTeamPCPは、昨日Breachedフォーラムで全てを販売リストに載せ、最低価格は50,000ドルとしています。彼らの明確な条件は率直です。買い手一人、交渉なし、誰も支払わなければ全データセットが無料で流出します。
GitHubは、悪意のある拡張機能のバージョンを削除し、デバイスを隔離し、重要な秘密をローテーションし、インシデント対応を開始したと述べています。
同社は、現在のところ顧客のリポジトリや企業、外部に保存されている組織に影響が出ている証拠はないと主張しています。
攻撃の経路は重要なポイントです。
これはGitHubプラットフォームの欠陥ではありません。VS Codeマーケットプレイスの毒された拡張機能が原因であり、開発者のノートパソコン上で実行され、それを通じてそのノートパソコンがアクセスできるすべてに到達しました。
同じ週に、2つの人気GitHub Actionsワークフロー（actions-cool/issues-helperとactions-cool/maintain-one-comment）がタグ操作を通じて侵害され、CI/CDの資格情報を外部に漏洩させ、GitHub自体の重大なRCE脆弱性CVE-2026-3854も、研究者が単一のgitプッシュでトリガーできることを示した後に修正されました。
3つの別々の事件、しかし一貫したメッセージ。プラットフォームは堅牢化されています。ただし、その周囲のサプライチェーンは脆弱なターゲットです。
今GitHub上で何かを構築している人にとって、即時のチェックリストはシンプルです。
インストールされているVS Code拡張機能を監査し、GitHub ActionsはタグではなくコミットSHAに固定してください。過去2週間に侵害された環境に触れた可能性のあるトークン、デプロイキー、秘密情報をローテーションしてください。