广场
最新
热门
资讯
我的主页
发布
11分钟VS Code毒插件放倒员工电脑,GitHub承认3800个内部仓库遭窃取
ME News
2026-06-25 13:08:37
关注
摘要生成中
ME News 消息,5 月 20 日(UTC+8),据 动察 Beating 监测,GitHub 官方发布安全调查公告,确认因一名员工设备感染了被投毒的 VS Code 插件,导致其内部代码仓库遭遇未经授权的访问。攻击者声称已打包窃取了 GitHub 约 3800 个内部仓库,官方承认此说法与目前的调查结果在方向上一致。 涉事恶意插件为 5 月 18 日在微软 Visual Studio Code 市场短暂上架的知名扩展 Nx Console(v18.95.0 版本)。攻击者通过窃取贡献者 Token 获得了发布权限,将包含凭证窃取器的恶意版本推送到应用市场。 虽然 Nx 团队在 11 分钟内就检测到异常并撤下了此版本,但依然有 GitHub 员工在此期间下载并中招。此恶意载荷在后台会自动读取主机的 Git 凭证、VS Code 扩展存储、AWS 密钥及 1Password 敏感数据。这套凭证让外部攻击者得以绕过外围的安全阻隔,直接打包窃取了 GitHub 内部的代码库。 GitHub 表示已在 5 月 19 日检测并控制了这起设备入侵。为了降低风险,安全团队在昨天及夜间加急轮换了所有关键密钥,并对高价值凭证进行了优先处理。目前团队正持续分析日志并监控后续活动,完整报告将在调查结束后公布。 (来源:BlockBeats)
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见
声明
。
赞赏
点赞
评论
转发
分享
评论
请输入评论内容
请输入评论内容
评论
暂无评论
热门话题
查看更多
#
0成本拿2股SK海力士
149.27万 热度
#
BTC下探60000美元关键关口
3.78亿 热度
#
美国VS土耳其
30.18万 热度
#
TradFiCFD黄金大师赛
219.11万 热度
#
USD1链上质押享年化9.48%
97.12万 热度
置顶
网站地图
11分钟VS Code毒插件放倒员工电脑,GitHub承认3800个内部仓库遭窃取