🚨 ĐANG NÓNG: GitHub đã xác nhận một vụ vi phạm các kho lưu trữ nội bộ của mình

Kẻ tấn công đã xâm nhập vào thiết bị của một nhân viên thông qua một tiện ích mở rộng Visual Studio Code bị nhiễm độc. Từ điểm cuối đó, họ đã mở rộng vào các kho GitHub nội bộ, rò rỉ bí mật, và rời đi với những gì họ tuyên bố là khoảng 4.000 kho lưu trữ mã nguồn riêng tư và dữ liệu tổ chức nội bộ.
Kẻ đe dọa, TeamPCP, đã niêm yết tất cả để bán trên diễn đàn Breached hôm qua với mức giá sàn là 50.000 đô la. Điều khoản của họ rõ ràng. Một người mua, không đàm phán, và nếu không ai trả, toàn bộ dữ liệu sẽ bị rò rỉ miễn phí.
GitHub cho biết đã loại bỏ phiên bản tiện ích mở rộng độc hại, cô lập thiết bị, thay đổi các bí mật quan trọng, và kích hoạt phản ứng sự cố.
Công ty khẳng định hiện tại không có bằng chứng về ảnh hưởng đến các kho lưu trữ khách hàng, doanh nghiệp hoặc tổ chức lưu trữ ngoài hạ tầng nội bộ của họ.
Phương thức tấn công là phần đáng để xem xét.
Đây không phải là lỗi của nền tảng GitHub. Đó là một tiện ích mở rộng bị nhiễm độc trong thị trường VS Code, thực thi trên laptop của nhà phát triển, dùng để truy cập mọi thứ mà laptop đó có thể truy cập.
Trong cùng tuần, hai quy trình làm việc GitHub Actions phổ biến (actions-cool/issues-helper và actions-cool/maintain-one-comment) đã bị xâm phạm thông qua thao tác chỉnh sửa thẻ để trích xuất thông tin xác thực CI/CD, và một lỗ hổng RCE nghiêm trọng trong chính GitHub, CVE-2026-3854, đã được vá sau khi các nhà nghiên cứu cho thấy nó có thể được kích hoạt chỉ bằng một lệnh git push.
Ba sự cố riêng biệt, một thông điệp nhất quán. Nền tảng đã được củng cố. Chuỗi cung ứng xung quanh nó là mục tiêu mềm.
Đối với bất kỳ ai đang xây dựng trên GitHub ngay bây giờ, danh sách kiểm tra ngay lập tức là đơn giản.
Kiểm tra các tiện ích mở rộng VS Code đã cài đặt. Ghim các Actions của GitHub vào các SHA cam kết thay vì thẻ. Thay đổi bất kỳ token, khóa triển khai hoặc bí mật nào có thể đã chạm vào môi trường bị xâm phạm trong hai tuần qua.