GitHub确认，一名员工误装恶意 Visual Studio Code（VS Code）扩展后，攻击者获取了约 3800 个内部代码库的访问权限。公司表示，当前调查显示，受影响范围限于 GitHub 内部仓库，尚未发现客户存放在这些仓库之外的数据被波及。

入侵源于恶意扩展

GitHub周二在 X 平台披露，前一日公司发现一台员工设备遭入侵，源头是一款被投毒的 VS Code 扩展。该扩展通过微软官方插件市场分发，但会在后台窃取数据。

公司称，发现异常后已下架恶意扩展版本，隔离相关终端，并立即启动事件响应流程。

目前影响集中在内部仓库

GitHub表示，攻击者声称窃取约 3800 个代码库，这一数字与公司目前掌握的调查结果大体一致。公司强调，现阶段没有证据显示客户企业、组织或其自有仓库受到影响。

不过，GitHub也提到，部分内部仓库可能包含客户相关信息，例如技术支持沟通摘录。如果后续确认这部分内容受到影响，公司将通过既有通知渠道联系相关客户。

攻击者索价至少5万美元

据网络安全账号 Dark Web Informer 披露，黑客组织 TeamPCP 在地下论坛 Breached 上宣称对这次入侵负责，并称掌握约 4000 个私有代码库，开价至少 5 万美元出售数据，还向经过验证的买家提供样本。

这一说法目前仍属于地下论坛的单方声明，尚未获得独立验证。GitHub表示，公司已在一夜之间轮换关键凭证，并优先处理高风险密钥，后续仍在持续监测是否存在进一步异常活动。

团伙曾涉多起供应链攻击

公开信息显示，TeamPCP过去曾被指与多起面向 GitHub、PyPI、NPM 和 Docker 的供应链攻击有关。研究人员还将该组织与持续中的 Shai-Hulud 恶意软件活动联系起来。

报道提到，另一项与该组织相关的行动据称还曾波及两名 OpenAI 员工所使用的软件，以及法国 AI 公司 Mistral AI 相关资产。这也使此次事件不仅是一次平台内部泄露事故，也再次引发外界对开发工具供应链安全的关注。