GitHub 遭遇危机：3,800 个内部代码库遭黑客窃取

一次复杂的供应链攻击损害了 GitHub 的 3,800 个内部代码库，加剧了这家微软旗下开发者平台的危机，该平台目前正经历领导层流失、持续的服务中断以及日益严重的竞争威胁。此次违规由具有财务动机的黑客组织 TeamPCP 发起，起因是一名员工安装了微软流行代码编辑器 Visual Studio Code 的一个受污染扩展程序。

GitHub 在一份声明中表示：“我们已删除了该恶意扩展版本，隔离了端点并立即开始事件响应，”并确认关键秘密已完成轮换。该公司首席安全官 Alexis Wales 随后确认，攻击向量是 Nx Console 扩展程序的恶意版本 v18.95.0，该版本在 5 月 18 日仅在官方市场上线了 18 分钟。尽管时间很短，但自动更新可能已将该恶意包推送给了超过 6,000 名用户。

此次攻击被分配标识符为 CVE-2026-48027，涉及一个名为 SANDCLOCK 的凭据窃取负载，该负载是从一个隐藏包中获取的。攻击者的初始入口是 5 月 11 日对开源开发工具 TanStack 的预先入侵，这使他们能够窃取一名 Nx Console 开发者的 GitHub 凭据。TeamPCP 最初以 5 万美元的价格出售这 3,800 个失窃库，后来在似乎与 Lapsus$ 黑客组织合作后，将价格提高到了 9.5 万美元。

这次安全漏洞加剧了自前任首席执行官 Thomas Dohmke 去年离职以来开始的内部动荡。微软选择不任命继任者，而是将 GitHub 并入其由前 Meta 高管 Jay Parikh 领导的 CoreAI 团队。此举导致了包括效力微软 34 年的资深高管 Julia Liuson 和首席营收官 Elizabeth Pemmerl 在内的高层领导离职。不稳定性以及频繁的服务中断已导致开发者公开质疑该平台的可靠性，一些知名项目已宣布撤离。

扩大的供应链威胁

GitHub 事件是 TeamPCP（谷歌威胁情报小组追踪其为 UNC6780）针对软件开发生态系统发起的为期数月行动中最受关注的后果。该组织的方法是一个自我循环的过程：入侵流行的开发工具以窃取凭据，然后利用这些凭据发布其他工具的恶意版本，从而扩大访问范围。

Grafana Labs 确认其也通过同一起 TanStack 初始攻击遭到入侵，并于 5 月 16 日收到了勒索要求，但遭到拒绝。OpenAI 的两台员工设备以及 Mistral AI 的某些代码库也在同一波攻击中受损。

BeyondTrust Corp. 首席安全顾问 Morey Haber 在一封电子邮件中表示：“开发者工作站现在拥有与域控制器相同的战略价值。访问源代码库、秘密、SSH 密钥、云凭据、签名证书和部署管道，可以将单个受损的端点转变为连锁反应的供应链事件。”

微软的战略挑战

虽然 GitHub 坚持认为没有客户代码受到影响，但其自身平台代码的泄露让攻击者能够洞察其架构，可能引发未来的零日漏洞利用。这一事件凸显了微软面临的战略挑战，微软于 2018 年以 75 亿美元的价格收购了 GitHub。该平台不仅是一个产品，更是微软与开发者社区关系的基石。

危机发生之际，GitHub 的 AI 驱动工具 Copilot 正在失去其领先于 Cursor 和 Claude Code 等竞争对手的先发优势。内部消息人士称，Jay Parikh 已警告同事，GitHub 正面临“严重威胁”。安全故障、运营不稳定以及感知的方向迷失相结合，面临侵蚀 GitHub 最关键资产——开发者信任的风险，这为竞争对手重塑市场创造了机会。

本文仅供参考，不构成投资建议。