🚨 最新消息：GitHub 已確認其內部存儲庫遭到入侵。

攻擊者通過一個被污染的 Visual Studio Code 擴展程式入侵了一名員工的設備。從那個單一端點，他們擴展到內部的 GitHub 存儲庫，竊取了秘密，並帶走了他們聲稱約有 4,000 個私有源代碼存儲庫和內部組織數據。
威脅行為者 TeamPCP 在昨天在 Breached 論壇上列出所有資料出售，底價為 50,000 美元。其聲明的條款非常直白。一個買家，不議價，如果沒有人付款，整個數據集將免費泄露。
GitHub 表示已刪除惡意擴展版本，隔離受感染設備，輪換關鍵秘密，並啟動事件響應。
公司堅稱目前沒有證據顯示客戶存儲庫、企業或組織在其內部基礎設施之外的資料受到影響。
攻擊向量是值得關注的部分。
這不是 GitHub 平台的漏洞，而是在 VS Code 市場中的一個被污染的擴展，執行在開發者的筆記本電腦上，用來存取該筆記本能觸及的一切。
同一周，兩個流行的 GitHub Actions 工作流程（actions-cool/issues-helper 和 actions-cool/maintain-one-comment）被通過標籤操作篡改，以竊取 CI/CD 憑證，並且 GitHub 本身的一個關鍵遠程代碼執行漏洞 CVE-2026-3854 在研究人員展示可以通過一次 git push 觸發後被修補。
三起獨立事件，傳遞一個一致的信息。平台已加固，但其供應鏈仍是軟弱點。
對於目前在 GitHub 上構建的任何人來說，立即的檢查清單很簡單。
審核已安裝的 VS Code 擴展，將 GitHub Actions 固定在提交 SHA 而非標籤，輪換任何在過去兩週內可能接觸到被感染環境的令牌、部署金鑰或秘密。