🚨 ĐANG NÓNG: GitHub đã xác nhận vi phạm các kho lưu trữ nội bộ của mình.

Kẻ tấn công đã xâm nhập vào thiết bị của một nhân viên thông qua một tiện ích mở rộng Visual Studio Code bị nhiễm độc. Từ điểm cuối đó, họ đã mở rộng vào các kho lưu trữ nội bộ của GitHub, rò rỉ bí mật, và rời đi với những gì họ tuyên bố là khoảng 4.000 kho lưu trữ riêng tư chứa mã nguồn và dữ liệu tổ chức nội bộ.
Kẻ đe dọa, TeamPCP, đã niêm yết tất cả để bán trên diễn đàn Breached hôm qua với mức sàn là 50.000 đô la. Các điều khoản của họ rất thẳng thừng. Một người mua, không đàm phán, và nếu không ai trả, toàn bộ dữ liệu sẽ bị rò rỉ miễn phí.
GitHub cho biết đã loại bỏ phiên bản tiện ích mở rộng độc hại, cô lập thiết bị, thay đổi các bí mật quan trọng, và kích hoạt phản ứng sự cố.
Công ty khẳng định hiện tại không có bằng chứng về ảnh hưởng đến các kho lưu trữ khách hàng, doanh nghiệp hoặc tổ chức lưu trữ ngoài hạ tầng nội bộ của chính họ.
Đường tấn công là phần đáng để xem xét.
Đây không phải là lỗi của nền tảng GitHub. Đó là một tiện ích mở rộng bị nhiễm độc trong thị trường VS Code, thực thi trên laptop của nhà phát triển, dùng để truy cập mọi thứ mà laptop đó có thể truy cập.
Trong cùng tuần, hai quy trình GitHub Actions phổ biến (actions-cool/issues-helper và actions-cool/maintain-one-comment) đã bị xâm phạm qua thao tác chỉnh sửa thẻ để trích xuất thông tin xác thực CI/CD, và một lỗ hổng RCE nghiêm trọng trong chính GitHub, CVE-2026-3854, đã được vá sau khi các nhà nghiên cứu chứng minh có thể kích hoạt chỉ bằng một lệnh git push.
Ba sự cố riêng biệt, một thông điệp nhất quán. Nền tảng đã được củng cố. Chuỗi cung ứng xung quanh nó là mục tiêu mềm.
Đối với bất kỳ ai đang xây dựng trên GitHub ngay bây giờ, danh sách kiểm tra ngay lập tức là đơn giản.
Kiểm tra các tiện ích mở rộng VS Code đã cài đặt. Ghim các hành động GitHub để xác nhận bằng SHA commit thay vì thẻ. Thay đổi các token, khóa triển khai hoặc bí mật có thể đã chạm vào môi trường bị nhiễm trong hai tuần qua.