【GitHub遭供应链攻击：3800内部仓库被盗，VS Code扩展成突破口】

GitHub证实重大安全漏洞，攻击源头指向恶意扩展

GitHub于5月20日正式确认，一名员工设备上安装的被污染VS Code扩展程序，导致攻击者成功获取了约3800个内部仓库的访问权限。这一事件发生在微软旗下代码托管平台，引发了业界对供应链安全的高度关注。

据称，威胁组织TeamPCP（谷歌威胁情报组正式追踪为UNC6780）已宣称对此次攻击负责，并开始以每份5万美元的价格出售窃取的仓库数据。GitHub评估认为，攻击者的说法与当前调查结果”基本吻合”。Trend Micro、StepSecurity和Snyk等安全公司已追踪到TeamPCP在3月以来至少七波Mini Shai-Hulud供应链蠕虫攻击。

此次GitHub安全事件并非孤立发生。它恰逢Mini Shai-Hulud新波次伪造639个恶意npm包版本的有效加密证明；前一天，攻击者已攻陷拥有220万安装量的VS Code扩展；同一天，Wiz发现TeamPCP已入侵微软的Python SDK；清晨，Verizon 2026 DBIR报告显示67%员工通过非企业账户访问AI工具。48小时内，五个供应链层面相继失效，另有两种AI代理攻击类型在同一月份被披露，形成完整攻击链。

GitHub确认攻击细节，溯源之路漫长

“昨日我们发现并控制了一起员工设备被入侵事件，涉及一个有毒VS Code扩展程序。我们已移除恶意扩展版本，隔离终端，并立即启动事件响应流程，”GitHub在5月20日X平台五帖长文中发布声明。”目前评估显示，此次活动仅涉及GitHub内部仓库的数据外泄。[VentureBeat强调]攻击者声称约3800个仓库的说法，与我们的调查结果基本一致。”GitHub补充称，已连夜轮换了关键凭证，优先处理影响最大的凭证。

GitHub的确认将攻击向量锁定在单个员工设备，但影响范围仍在扩大。公司未公布具体扩展名称。内部仓库包含基础设施配置、部署脚本、暂存凭证和内部API架构。这种级别的源代码访问不仅是数据泄露，更是基础设施情报的泄露。

Dark Web Informer报告称，TeamPCP的出售广告在GitHub首次披露前数小时出现在黑客论坛，标价约4000个私有仓库。Hackmanac独立证实了该列表的存在。与TeamPCP相关的X账号xploitrsturtle2在GitHub确认后发帖：”GitHub早已知情数小时，他们故意延迟告知，未来也不会诚实。这是一次精彩的行动，过去几个月能与’猫们’互动，深感荣幸。”

谷歌威胁情报组正式追踪TeamPCP为UNC6780，这是一个以经济利益为导向的威胁组织，专门针对开源安全工具和AI中间件的供应链攻击。Trend Micro追踪到”至少七波确认攻击”，涵盖Trivy（2026年3月）、Checkmarx KICS、LiteLLM、elementary-data、Bitwarden CLI、TanStack（5月11日）和Mistral AI（5月12日）。StepSecurity、Snyk和Trend Micro基于工具链重叠，对Trivy、Bitwarden CLI和TanStack波次给予高度置信。GitHub 5月20日确认的通过有毒VS Code扩展的入侵，与TeamPCP在2026年全年武器化的攻击面完全吻合。

币安联合创始人CZ立即发文：”如果你有任何包含明文凭据或敏感文档/架构的私有仓库，请立即轮换你的凭证。”Ivanti首席技术官Mike Riemer在接受VentureBeat独家采访时表示，Azure的蜜罐网络显示已知漏洞在90秒内被利用。被盗凭证缩短了攻击前的侦察阶段。每份到达买家的GitHub端凭证，都会加速买家正在运行的攻击路径。

伪造自身证明的蠕虫

在GitHub披露前数小时，Endor Labs检测到5月19日01:39至02:06 UTC期间发布的42个恶意npm包。Socket的更广泛追踪显示，整个波次包含639个恶意版本，分布在阿里巴巴@antv数据可视化生态系统的323个包中，每周下载量约1600万次。

这一波次引入了证明伪造技术。蠕虫现在在运行时调用Fulcio和Rekor，为传播的每个包生成有效的Sigstore签名证书。证明工具显示绿色徽章，但构建链属于攻击者。”证明显示包的构建位置，但不证明构建经过授权，”Endor Labs解释道。

Endor Labs高级安全研究员Peyton Kennedy告诉VentureBeat：”TanStack在纸面上配置正确：OIDC可信发布、签名证明、每个维护者账户双因素认证。攻击仍然成功。每波攻击都瞄准更高下载量的目标，并引入更技术性的访问向量。”

5月12日晚，vx-underground报告称TeamPCP已开源完全武器化的Shai-Hulud蠕虫代码。模仿变种已出现，使归属变得更加复杂。Kennedy向VentureBeat提供了初步检测方法：在项目目录中运行find . -name ‘router_init.js’ -size +1M，并在package-lock.json中grep哈希值79ac49eedf774dd4b0cfa308722bc463cfe5885c。如果任一命令返回命中，请在撤销任何令牌前隔离并镜像机器。蠕虫的破坏性守护程序在撤销令牌时触发。

同日GitHub Actions标签被重定向至冒名提交

同样在5月19日，威胁行为者通过将仓库中每个现有标签重定向到正常提交历史中不存在的冒名提交，攻陷了流行的GitHub Actions工作流actions-cool/issues-helper。”该提交包含从运行该操作的CI/CD管道中窃取凭证的恶意代码，”StepSecurity研究员Varun Sharma表示。GitHub已禁用对此仓库的访问。

数据外泄域名(t.m-kosche[.]com)与@antv Mini Shai-Hulud波次匹配，将两个攻击集群联系起来。只有固定到特定提交的工作流受到影响。

关注微信号：智享开源 ，更多信息访问网站：blog.imcn.me

原文链接：https://venturebeat.com/security/github-confirms-3800-repos-stolen-poisoned-vs-code-extension-supply-chain-worm-microsoft-python-sdk