文章总结： GitHub于2026年5月20日确认其内部代码仓库遭黑客入侵，攻击者通过恶意VSCode扩展感染员工设备窃取数据。威胁组织TeamPCP声称盗取约4000个私有仓库并以5万美元出售。GitHub已采取密钥轮换、设备隔离、移除恶意扩展等应急措施，事件凸显开发者工具供应链安全风险。 综合评分： 85 文章分类： 安全大事件,漏洞分析,供应链安全,应急响应,威胁情报

GitHub证实被入侵，4000个私有仓库被窃取

FreeBuf

2026年5月20日 18:00 上海

在小说阅读器读本章

去阅读

GitHub在5月20日发布的一系列官方声明中披露，公司已确认其内部代码仓库遭到未经授权的访问。事件起因是一名员工的设备被恶意的 Visual Studio Code 扩展感染。

微软旗下的代码托管平台表示，在发现一个被投毒的 VS Code 扩展被用于入侵员工终端后，他们迅速识别并控制了此次安全漏洞。

GitHub 立即删除了该恶意扩展版本，隔离了受影响的设备，并启动了事件响应程序。

Part01

攻击者宣称4000个私有仓库待售

一个以TeamPCP为代号运作的知名威胁组织（Google威胁情报组追踪为UNC6780）宣称对此次事件负责，并声称此次入侵的数据涉及约4000个与GitHub主平台直接关联的私有代码仓库。

目前，该组织正在地下网络犯罪论坛上以超过5万美元的价格出售被盗数据集。

TeamPCP惯于使用窃取的CI/CD凭据和特权访问令牌向目标基础设施纵深渗透，该组织2026年已发起多起高影响力攻击，包括利用CVE-2026-33634漏洞入侵Trivy漏洞扫描器（波及思科在内的1000多家组织），以及针对Checkmarx、LiteLLM等CI/CD管道的大规模凭据窃取攻击。

Part02

调查结果与遏制手段

GitHub 的调查显示，攻击者利用恶意VS Code扩展作为初始访问途径，成功从GitHub内部仓库中窃取了数据。攻击者声称已访问约3800个仓库的说法，与GitHub迄今为止的调查发现“方向一致”。目前尚未发现公共仓库或客户托管的仓库受到影响。

GitHub 在初步发现问题后迅速采取行动，以降低进一步的风险暴露。关键的遏制措施包括：

• 连夜轮换关键密钥和凭证，优先更换影响最大的凭证；
• 隔离被入侵的员工终端；
• 从分发渠道中移除恶意 VS Code 扩展版本；
• 启动持续的日志分析，以检测攻击者的后续活动。

使用恶意VS Code扩展作为初始访问途径的入侵方式，凸显了针对开发者供应链攻击的日益增长的风险。威胁行为者正越来越多地将目标瞄准开发者工具、IDE扩展、CI/CD插件和包管理器。受信任的扩展一旦被植入恶意代码，便可绕过传统安全控制，在后台悄无声息地窃取敏感凭证或令牌。

Part03

后续行动与客户影响

GitHub确认将继续分析日志、验证密钥轮换的完整性，并监控次要活动。该公司表示，将根据调查结果采取进一步的补救措施，并承诺在审查完成后发布更完整的事件报告。

截至目前，GitHub尚未证实存在任何客户数据泄露事件，并表示如发现任何影响，将通过既定事件响应渠道通知客户。

参考来源：

GitHub Hacked – Internal Source Code Repositories Compromised via Employee Device

GitHub Hacked – Internal Source Code Repositories Compromised via Employee Device

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《GitHub证实被入侵，4000个私有仓库被窃取》