GitHub 周二证实，攻击者通过植入恶意程序的 Visual Studio Code 扩展程序入侵了一名员工的设备，从而非法访问了其内部代码库。这家微软旗下的平台迅速检测并控制了此次入侵，移除了恶意扩展程序，隔离了受影响的终端，并立即启动了事件响应。

该公司表示目前的评估是，此次安全漏洞仅涉及GitHub内部代码库的数据泄露。客户代码库、企业组织以及存储在GitHub内部系统之外的用户数据据信未受影响。

裂痕的规模

GitHub 证实，攻击者声称约有 3800 个内部代码库被入侵的说法与其自身调查结果基本一致。威胁组织 TeamPCP 已声称对此次入侵事件负责，并据称正试图在地下网络犯罪论坛上以超过 5 万美元的价格出售被盗数据集。该组织声称，这些数据包括来自约 4000 个私有代码库的专有平台源代码和内部组织文件。

GitHub表示，在检测到数据泄露后，公司迅速采取了关键凭证轮换措施，优先处理影响最大的密钥。公司正在继续分析日志、验证密钥轮换情况，并监控后续活动。

为什么内部存储库访问权限至关重要

该公司表示，目前没有证据表明存储在内部存储库之外的客户信息受到影响。安全研究人员指出，措辞至关重要。“没有证据表明受到影响”并不意味着客户数据绝对安全。它意味着调查仍在进行中，影响范围尚未完全确定。

内部代码库通常包含基础设施配置、部署脚本、内部 API 文档、测试环境凭证、功能标志、监控钩子以及未公开的服务。即使无法直接访问客户数据，访问内部源代码也能有效地提供整个系统架构的蓝图。

安全专家还指出，GitHub明确提及监控后续活动这一点意义重大。现代攻击很少止步于初始访问。标准的攻击流程是从最初立足点开始，经过侦察、权限提升、持久化，然后在防御者认为威胁已被遏制后，发起第二波针对性攻击。

GitHub 正在做什么

GitHub表示，在发现数据泄露当天就对关键密钥进行了轮换，优先处理最敏感的凭证。公司正在持续监控基础设施，以防任何二次活动，并将在调查结束后发布更完整的事件报告。如果发现客户数据受到任何影响，GitHub将通过既定的事件响应渠道通知客户。

为安全起见，建议使用 GitHub 的开发者检查并轮换存储在存储库中的任何 API 密钥，即使客户存储库被认为没有受到直接影响。