🚨 突发：GitHub 已确认其内部仓库遭到入侵

攻击者通过一个被污染的 Visual Studio Code 扩展攻破了一名员工的设备。从这一单一端点出发，他们进一步渗透到内部 GitHub 仓库，窃取秘密，并带走了他们声称约 4,000 个私有源代码仓库以及内部组织数据。
威胁行为者 TeamPCP 昨日在 Breached 论坛上把所有内容列出来出售，底价为 50,000 美元。其所述条款直截了当：一位买家、不做谈判；如果没有人支付，整个数据集将被免费泄露。
GitHub 表示，它已移除恶意扩展版本、隔离了受影响设备，轮换了关键秘密，并启动了事件响应。
该公司坚持认为，目前没有证据表明其内部基础设施之外存储的客户仓库、企业或组织遭到了影响。
攻击向量才是值得重点关注的部分。
这不是 GitHub 平台本身的漏洞。而是 VS Code 市场中的一个被污染扩展，在开发者笔记本上执行，用于访问该笔记本能够访问的一切。
同一周，两个流行的 GitHub Actions 工作流（actions-cool/issues-helper 和 actions-cool/maintain-one-comment）也遭到通过标签操纵来进行数据外传（exfiltrate）CI/CD 凭证的入侵；此外，GitHub 本身的一个关键远程代码执行（RCE）漏洞 CVE-2026-3854 也在研究人员展示其只需一次 git push 即可触发之后被修复。
三个不同事件，传递出一条一致的信息：平台已加固安全；围绕平台的供应链仍是软肋。
对于任何正在使用 GitHub 构建的人员来说，当前最直接的检查清单很简单：
审计已安装的 VS Code 扩展。将 GitHub Actions 固定到提交的 SHA，而不是标签。轮换过去两周内任何可能接触到受影响环境的令牌（tokens）、部署密钥（deploy keys）或秘密（secrets）。