圈小蛙
作为全球开发者心目中的“安全堡垒”,GitHub 自身却在近日遭遇了重大安全突破。今天,GitHub 官方正式确认,由于一名员工的开发环境遭到恶意 VS Code 扩展程序的“投毒”攻击,导致约 3800 个内部代码仓库发生未经授权的访问及外泄。
投毒机制:开发者工具成为特洛伊木马
根据 GitHub 在社交平台 X 上发布的官方声明,此次攻击的源头是一次精准的“供应链投毒”。攻击者通过在 VS Code 扩展市场发布或诱导安装了一个包含恶意逻辑的扩展程序。当受害员工在其办公终端运行该插件时,恶意代码便利用开发环境的高级权限绕过了传统的端点防御,成功获取了访问 GitHub 内部私有仓库的凭据。
GitHub 安全团队在调查中发现,黑客此前在技术论坛声称窃取了约 3800 个内部仓库,而公司目前的内部评估显示,这一数字与实际受影响的规模“方向一致”。这意味着 GitHub 大量的底层逻辑和内部工具代码已落入黑客之手。
核心项目告急:Copilot 与 CodeQL 疑似外泄
尽管 GitHub 在官方通报中强调,目前没有证据表明客户的代码或企业级仓库受到影响,但安全圈的讨论显然指向了更严重的方向。据多名安全研究员及部分媒体援引黑客论坛的消息称,此次外泄的内容可能涉及 GitHub 的核心资产,包括 AI 编程助手 Copilot 的部分模型权重或工程代码,以及其核心漏洞分析工具 CodeQL 的源码。
如果 CodeQL 的源码确实外泄,这对于 GitHub 乃至全球开源社区都是巨大的风险。CodeQL 是用于扫描全球数百万个仓库安全漏洞的基础工具,一旦黑客掌握了其底层逻辑,可能会针对性地研究如何绕过 GitHub 的自动化安全扫描。
补牢之举:密钥轮换与端点隔离
事件发生后,GitHub 迅速启动了最高级别的应急预案。据悉,公司已在全范围内移除该恶意扩展,对受感染的员工终端进行了物理隔离,并完成了关键生产环境的密钥轮换(Credential Rotation)。
对于一家以“赋能开发者安全”为己任的公司,GitHub 此次跌倒在开发者工具的安全性上,给所有大型科技企业敲响了警钟。在高度自动化的开发流程中,VS Code 插件、npm 包等第三方组件正逐渐成为供应链攻击的最前线。GitHub 表示,相关调查仍在与执法部门合作持续进行中,未来可能会公布更多关于该恶意插件的技术细节。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️