🚨 緊急速報：GitHubが内部リポジトリの侵害を確認

攻撃者は、毒されたVisual Studio Code拡張機能を通じて従業員のデバイスを侵害した。そこから、彼らは内部のGitHubリポジトリに横展開し、秘密情報を漏洩させ、約4,000のプライベートリポジトリのソースコードと内部組織データを持ち出したと主張している。
脅威アクターのTeamPCPは、昨日Breachedフォーラムで全てを販売リストに載せ、最低価格は50,000ドルとした。彼らの明確な条件は率直だ。買い手一人、交渉なし、誰も支払わなければ全データセットが無料で流出する。
GitHubは、悪意のある拡張機能のバージョンを削除し、デバイスを隔離し、重要な秘密情報をローテーションし、インシデント対応を開始した。
同社は、現時点で顧客のリポジトリや企業、外部の組織に影響が及んだ証拠はないと主張している。
攻撃の経路は重要なポイントだ。
これはGitHubプラットフォームの欠陥ではなく、VS Codeマーケットプレイスの毒された拡張機能が、開発者のノートパソコン上で実行され、そのノートパソコンがアクセスできるすべてに到達したということだ。
同じ週に、2つの人気GitHub Actionsワークフロー（actions-cool/issues-helperとactions-cool/maintain-one-comment）がタグ操作を通じて侵害され、CI/CDの資格情報を外部に流出させた。また、GitHub自体の重大なRCE脆弱性CVE-2026-3854も、研究者が単一のgitプッシュでトリガーできることを示した後に修正された。
3つの別々の事件だが、伝えたいメッセージは一つ。プラットフォームは堅牢化されている。周囲のサプライチェーンが脆弱なターゲットだ。
今GitHub上で何かを構築している人にとって、即座に確認すべきポイントはシンプルだ。
インストール済みのVS Code拡張機能を監査する。GitHub ActionsをタグではなくコミットSHAに固定する。過去2週間以内に侵害された環境に触れた可能性のあるトークン、デプロイキー、秘密情報をローテーションする。