🚨 最新消息：GitHub 已確認其內部存儲庫遭到入侵

攻擊者通過一個毒化的 Visual Studio Code 擴展程式入侵了一名員工的設備。從那個單一端點，他們擴展到內部 GitHub 存儲庫，竊取秘密，並帶走了他們聲稱約有 4,000 個私有源代碼存儲庫和內部組織資料。
威脅行為者 TeamPCP，昨天在 Breached 論壇上列出所有被販售，底價為 50,000 美元。
他們的條款直截了當。一個買家，不議價，如果沒有人付款，整個資料集將免費泄露。
GitHub 表示已移除惡意擴展版本，隔離受感染設備，輪換關鍵秘密，並啟動事件響應。
公司堅稱目前沒有證據顯示客戶存儲庫、企業或組織在其內部基礎設施之外受到影響。
攻擊向量是值得深思的部分。
這不是 GitHub 平台的漏洞，而是在 VS Code 市場中的毒化擴展，執行於開發者筆記本電腦上，用來存取該筆記本電腦能觸及的一切。
同一週，兩個流行的 GitHub Actions 工作流程（actions-cool/issues-helper 和 actions-cool/maintain-one-comment）被通過標籤操作破壞，以竊取 CI/CD 憑證，並且一個關鍵的遠程代碼執行（RCE）漏洞 CVE-2026-3854 在研究人員展示可用單次 git push 觸發後被修補。
三起獨立事件，傳遞一個一致訊息。平台已加固，但其供應鏈才是軟弱點。
對於目前在 GitHub 上構建的任何人，立即的檢查清單很簡單。
審核已安裝的 VS Code 擴展。將 GitHub Actions 鎖定在提交的 SHA 而非標籤。輪換任何在過去兩週內可能觸及受感染環境的令牌、部署金鑰或秘密。