GitHub 遭遇危機：3,800 個內部程式碼庫遭駭客竊取

一次複雜的供應鏈攻擊損害了 GitHub 的 3,800 個內部程式碼庫，加劇了這家微軟旗下開發者平台的危機，該平台目前正經歷領導層流失、持續的服務中斷以及日益嚴重的競爭威脅。此次違規由具有財務動機的駭客組織 TeamPCP 發起，起因是一名員工安裝了微軟流行程式碼編輯器 Visual Studio Code 的一個受污染擴充功能。

GitHub 在一份聲明中表示：「我們已刪除了該惡意擴充版本，隔離了端點並立即開始事件響應，」並確認關鍵秘密已完成輪換。該公司首席安全官 Alexis Wales 隨後確認，攻擊向量是 Nx Console 擴充功能的惡意版本 v18.95.0，該版本在 5 月 18 日僅在官方市場上線了 18 分鐘。儘管時間很短，但自動更新可能已將該惡意包推送給了超過 6,000 名用戶。

此次攻擊被分配標識符為 CVE-2026-48027，涉及一個名為 SANDCLOCK 的憑證竊取負載，該負載是從一個隱藏包中獲取的。攻擊者的初始入口是 5 月 11 日對開源開發工具 TanStack 的預先入侵，這使他們能夠竊取一名 Nx Console 開發者的 GitHub 憑證。TeamPCP 最初以 5 萬美元的價格出售這 3,800 個失竊庫，後來在似乎與 Lapsus$ 駭客組織合作後，將價格提高到了 9.5 萬美元。

這次安全漏洞加劇了自前任執行長 Thomas Dohmke 去年離職以來開始的內部動盪。微軟選擇不任命繼任者，而是將 GitHub 併入其由前 Meta 高管 Jay Parikh 領導的 CoreAI 團隊。此舉導致了包括效力微軟 34 年的資深高管 Julia Liuson 和首席營收官 Elizabeth Pemmerl 在內的高層領導離職。不穩定性以及頻繁的服務中斷已導致開發者公開質疑該平台的可靠性，一些知名項目已宣佈撤離。

擴大的供應鏈威脅

GitHub 事件是 TeamPCP（Google威脅情報小組追蹤其為 UNC6780）針對軟體開發生態系統發起的為期數月行動中最受關注的後果。該組織的方法是一個自我循環的過程：入侵流行的開發工具以竊取憑證，然後利用這些憑證發布其他工具的惡意版本，從而擴大訪問範圍。

Grafana Labs 確認其也通過同一起 TanStack 初始攻擊遭到入侵，並於 5 月 16 日收到了勒索要求，但遭到拒絕。OpenAI 的兩台員工設備以及 Mistral AI 的某些程式碼庫也在同一波攻擊中受損。

BeyondTrust Corp. 首席安全顧問 Morey Haber 在一封電子郵件中表示：「開發者工作站現在擁有與網域控制器相同的戰略價值。訪問源程式碼庫、秘密、SSH 金鑰、雲端憑證、簽名證書和部署管道，可以將單個受損的端點轉變為連鎖反應的供應鏈事件。」

微軟的戰略挑戰

雖然 GitHub 堅持認為沒有客戶程式碼受到影響，但其自身平台程式碼的洩漏讓駭客能夠洞察其架構，可能引發未來的零日漏洞利用。這一事件凸顯了微軟面臨的戰略挑戰，微軟於 2018 年以 75 億美元的價格收購了 GitHub。該平台不僅是一個產品，更是微軟與開發者社群關係的基石。

危機發生之際，GitHub 的 AI 驅動工具 Copilot 正在失去其領先於 Cursor 和 Claude Code 等競爭對手的先發優勢。內部消息人士稱，Jay Parikh 已警告同事，GitHub 正面臨「嚴重威脅」。安全故障、運營不穩定以及感知的方向迷失相結合，面臨侵蝕 GitHub 最關鍵資產——開發者信任的風險，這為競爭對手重塑市場創造了機會。

本文僅供參考，不構成投資建議。