🚨 突发：GitHub 已确认其内部仓库发生了泄露。

攻击者通过一个被投毒的 Visual Studio Code 扩展程序入侵了一名员工的设备。随后，他们从这个单一端点切入，进入内部 GitHub 仓库，导出秘密，并据称带走了约 4,000 个私有源代码仓库以及内部组织数据。
威胁行为者 TeamPCP 昨天在 Breached 论坛上将所有内容列为待售，起拍价为 50,000 美元。他们的陈述条款直截了当。一个买家、不许谈判：如果没人付款，整个数据集就会免费泄露。
GitHub 表示已删除恶意扩展版本、隔离该设备、轮换关键秘密，并启动了事件响应。
公司坚持称，目前没有证据表明客户仓库、企业或存储在其自有内部基础设施之外的组织受到了影响。
攻击向量正是值得重点关注的部分。
这不是 GitHub 平台本身的漏洞。而是 VS Code 市场中的一个被投毒的扩展，在开发者笔记本电脑上执行，用来访问这台笔记本电脑所能触达的一切。
同一周，两个热门的 GitHub Actions 工作流（actions-cool/issues-helper 和 actions-cool/maintain-one-comment）也被通过标签操纵所攻破，从而外传 CI/CD 凭证；与此同时，GitHub 本身的一个关键远程代码执行漏洞 CVE-2026-3854 也在研究人员展示它可以通过一次 git push 触发后被修补。
三个不同的事件，传递出同一条信息：平台已加固，但其周边供应链仍是软肋。
对于现在正在 GitHub 上构建的人来说，紧急检查清单很简单：
检查已安装的 Visual Studio Code 扩展。将 GitHub Actions 固定到提交的 SHA，而不是标签。轮换任何在过去两周内可能接触过被入侵环境的令牌、部署密钥或秘密。