AI风向局
26-05-21 11:30

GitHub老底被偷:3800个内部仓库挂网上卖
【突发大地震】
这绝对是今年网络安全界最大的一个瓜。一个叫 TeamPCP 的黑客组织在暗网论坛上公开叫卖GitHub的内部源代码。GitHub安全团队一查,头皮发麻:公司一个开发老哥的电脑被黑客黑了,原因居然是他为了图省事,在微软自家的VS Code Marketplace里装了一个被下了毒的“恶意插件”。

【硬核拆解】这“内鬼插件”到底怎么成功的?
1️⃣精准定向爆破: 黑客这次玩的是高阶的“供应链投毒”。他们盯上了最近拥有220万安装量的热门开发插件 Nx Console,先偷了原作者的凭证,然后往官方市场上传了一个带后门的恶意版本(18.95.0版)。GitHub的这位老哥刚好更新了插件,电脑瞬间沦为黑客肉鸡。
2️⃣3800个私有库全被打包: 黑客通过这台电脑拿到权限后,直接化身“代码吸尘器”。泄露的内容包括 GitHub Actions自动化脚本、Agent智能体工作流、Copilot内部核心项目,以及Codespaces等一大堆未公开的底牌。可以说,GitHub下半年的AI和安全布局,全被黑客看光了。
3️⃣黑客疯狂叫卖: TeamPCP在论坛上发帖非常嚣张,直接开价 5万到9.5万美元(现在甚至跟著名的Lapsus$黑客帮联手了)。他们还大言不惭地说:“这可不是敲诈啊,我们纯卖数据。要是没人买,过几天我们就免费公开,给大伙儿当退休福利!”

【局内大实话】
这事儿讽刺就讽刺在,GitHub天天教别人怎么做代码安全防护,天天宣传自家的 Dependabot 查毒有多牛,结果自己家员工在微软亲儿子VS Code的官方商店里踩了雷。在这个 各家都在疯狂推进AI Agent、抢夺像Gemini 3.5 Flash这样云端算力 的节骨眼上,老美最核心的代码托管平台被人抄了后路,对微软的商誉简直是毁灭性打击。

【局长点评】
局长,这波教育了全天下的程序员:别盲目迷信什么大厂的“官方商店”!VS Code插件市场由于缺乏严格的权限审查和静默更新机制,早就成了黑客投毒的重灾区。GitHub目前已经紧急隔离了设备,并全网重置了密钥。各位局友如果平时开发也用VS Code,赶紧去排查下自己的插件列表,别一不小心把公司或者自己的私人库也给“开源”了!

【程序员自救指南】
赶紧排查: 检查你的VS Code插件,如果装了 Nx Console,确认版本是不是危险的 18.95.0。如果是,立刻卸载并修改你电脑上所有的GitHub访问Token!
安全建议: 没事别在主力机上装那些奇奇怪怪、下载量极低的野生插件,更新时最好长个心眼,关闭“自动更新”功能。

发布于 河北