文章总结： GitHub因员工安装恶意VSCode插件导致3800个内部代码仓库被窃取，黑客组织TeamPCP声称控制约4000个仓库并索要5万美元赎金。事件暴露VSCode插件安全风险，近年类似恶意插件事件频发，如挖矿程序植入、数据窃取等。建议开发者谨慎安装插件、定期检查卸载陌生工具，企业需加强员工安全培训与设备管理。 综合评分： 87 文章分类： 漏洞预警,应急响应,安全意识,供应链安全,恶意软件

GitHub遭恶意VSCode插件入侵！3800个内部仓库被盗

看雪学苑 看雪学苑

看雪学苑

2026年5月20日 17:59 上海

在小说阅读器读本章

去阅读

近日，全球最大代码托管平台GitHub，因员工安装恶意VSCode插件，约3800个内部代码仓库被非法窃取。

事件核心：恶意插件“潜伏”，员工设备成突破口

GitHub官方通报显示，此次入侵的源头的是一款被“毒化”的VSCode插件——公司一名员工不慎安装后，设备被攻击者控制，进而导致内部仓库信息被窃取。

发现异常后，GitHub迅速采取应急措施：立即移除了这款未公开名称的恶意插件，隔离了被入侵的员工设备，并启动全面的事件调查，目前已完成关键密钥轮换，进一步降低安全风险。

官方明确表示，截至目前，此次泄露仅涉及GitHub内部仓库，未发现受影响仓库之外的客户数据被波及，这也让不少依赖GitHub的企业暂时松了口气。

黑客嚣张叫板：要价5万美元，否则直接泄露

黑客组织TeamPCP声称，他们不仅获取了GitHub的源代码，还控制了约4000个私人代码仓库（与GitHub调查的3800个大致吻合），并公开叫价：最低5万美元出售被盗数据。

更嚣张的是，TeamPCP表示这并非勒索：“只要有一个买家，我们就会销毁手头的数据；如果没人购买，我们将免费泄露——看来我们的‘退休计划’很快就要实现了。”

警示：VSCode恶意插件早已屡见不鲜

可能有开发者会疑惑，VSCode插件怎么会成为攻击突破口？事实上，VSCode插件作为可扩展编辑器功能的工具，需从官方市场下载安装，但恶意插件往往伪装成正规工具，趁机窃取敏感信息，这类事件近年来早已频发。

梳理过往案例，每一起都触目惊心：

• 去年，多款累计安装量达900万次的VSCode插件因安全风险被下架；另有10款伪装成正规开发工具的插件，暗中植入XMRig挖矿程序，感染大量用户设备。

• 同年晚些时候，黑客WhiteCobra向VSCode市场批量上传24款偷币插件，其中一款还带有基础勒索功能，成功“混过”审核上架。

• 今年1月，两款标榜“AI编程助手”的恶意插件，累计安装量达150万次，暗中将开发者设备中的数据窃取至中国境内服务器。

这些案例都说明，开发者日常使用的工具，很可能成为黑客攻击的“突破口”，尤其是高频使用的VSCode插件，更需提高警惕。

调查仍在继续，安全防护刻不容缓

目前，GitHub的事件调查仍在推进中，官方表示将根据调查结果采取进一步措施，并在后续发布完整报告。

对于广大开发者和企业而言，此次事件也给出了明确警示：

✅ 谨慎安装VSCode插件，优先选择官方认证、下载量高、评价良好的插件；

✅ 定期检查已安装插件，及时卸载陌生、无用的插件，降低安全风险；

✅ 企业需加强员工安全培训，规范开发设备使用，避免因个人操作疏忽引发安全事故。

对于开发者而言，代码和数据就是核心资产，稍有不慎，就可能面临不可挽回的损失。

资讯来源：GitHub官方通报、BleepingComputer、Breached cybercrime forum

球分享

球点赞

球在看

点击阅读原文查看更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《GitHub遭恶意VSCode插件入侵！3800个内部仓库被盗》