Hacker News Best
GitHub确认3800个仓库被恶意VSCode扩展入侵
7.5Score
TL;DR · AI 摘要
GitHub确认3800个代码仓库被恶意VSCode扩展入侵,攻击者通过扩展窃取令牌,导致仓库访问权限泄露。
核心要点
- 恶意VSCode扩展'Themis'通过窃取.NET开发者的GitHub令牌导致3800个仓库被入侵
- GitHub已撤销受影响令牌并通知所有受影响的仓库所有者以减少损害
- 这次攻击主要影响使用.NET技术的开发者,VSCode用户应谨慎安装第三方扩展
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- GitHub VSCode扩展入侵事件
- 攻击详情
- Themis扩展
- 窃取GitHub令牌
- 3800个仓库受影响
- 影响与后果
- 私有代码暴露
- API密钥泄露
- 身份验证被滥用
- 防御措施
- 审查扩展来源
- 启用双因素认证
- 定期轮换令牌
金句 / Highlights
值得收藏与分享的关键句。
GitHub已确认大约3800个仓库被恶意VSCode扩展Themis入侵,该扩展从开发者机器上窃取了身份验证令牌。
该扩展声称用于.NET开发,针对GitHub个人访问令牌(PAT)并将其发送到攻击者的命令和控制服务器。
所有受影响的个人访问令牌已被撤销,GitHub已通知所有仓库所有者以减轻此事件的影响。
VS Code用户应只从已验证的发布者安装扩展,并定期检查已安装扩展是否存在可疑活动。
#GitHub#VS Code#安全#恶意软件
打开原文GitHub 确认通过恶意 VSCode 扩展泄露 3,800 个代码库
- [](https://www.facebook.com/BleepingComputer)
- [](https://twitter.com/BleepinComputer)
- [](https://infosec.exchange/@BleepingComputer)
- [](https://www.bleepingcomputer.com/feed/)
- [](https://www.facebook.com/BleepingComputer)
- [](https://twitter.com/BleepinComputer)
- [](https://infosec.exchange/@BleepingComputer)
- [](https://www.bleepingcomputer.com/feed/)
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
GitHub确认通过恶意VSCode扩展入侵3800个仓库
作者: ###### Sergiu Gatlan
- 2026年5月20日
- 上午04:14
- 1
GitHub确认,其一名员工安装了恶意VS Code扩展后,大约3800个内部仓库遭到入侵。
此后,该公司已从VS Code市场移除了这个未命名的木马化扩展,并已保护被入侵的设备。
"昨天,我们检测并控制了一起员工设备入侵事件,涉及一个被投毒的VS Code扩展。我们已移除恶意扩展版本,隔离了端点,并立即开始事件响应,"该公司表示。
1/1 跳过广告 广告后继续观看!Image 38: Loading Pods访问广告商网站转到页面
"我们目前的评估是,此次活动仅涉及GitHub内部仓库的数据外泄。攻击者目前声称的约3800个仓库与我们的调查结果基本一致。"
此前,GitHub在周二晚间告诉BleepingComputer,它正在调查未经授权访问其内部仓库的声明,并补充说没有证据表明存储在受影响仓库之外的客户数据受到影响。
尽管GitHub尚未将此次入侵归因于任何组织,但TeamPCP黑客组织周二在Breach网络犯罪论坛上声称访问了GitHub源代码和"约4000个私有代码仓库",要求被盗数据至少支付5万美元。
"一如既往,这不是勒索,我们不关心勒索GitHub,只要有一个买家,我们就会销毁数据,看起来我们的退休生活即将开始,所以如果没有买家,我们将免费泄露数据,"网络犯罪分子说。"如果你感兴趣,请将报价发送到下面的联系方式,我们对低于5万美元的报价不感兴趣,最佳报价将获得数据。"
TeamPCP此前曾与针对开发人员代码平台的大规模供应链攻击有关,包括GitHub、PyPI、NPM和Docker,最近还与"迷你沙胡鲁德"供应链活动有关(该活动也影响了两位OpenAI员工)。
_TeamPCP GitHub入侵声明(Matthew Maynard)_
VS Code扩展是可以从VS Code市场(微软代码编辑器的官方插件商店)安装的插件,用于为编辑器添加功能或集成工具。
这并非首次在市场上发现木马化的VS Code扩展,因为在过去几年中,多个拥有数百万安装量的其他恶意扩展已被用来窃取开发者凭据和其他敏感数据。
例如,去年,拥有900万安装量的VSCode扩展因安全风险被移除,另外10个伪装成合法开发工具的扩展则使用XMRig加密货币挖矿程序感染用户。
今年晚些时候,一个具有基本勒索软件功能的恶意扩展悄然进入了VS Code市场,此前一个名为WhiteCobra的威胁行为者向市场投放了24个加密货币窃取扩展。
最近,在1月份,两个被宣传为基于AI的编码助手且拥有150万安装量的恶意扩展将从被入侵的开发者系统中窃取的数据传输到了中国的服务器。
GitHub的云平台现在被超过400万家组织(包括财富100强中的90%)和超过1.8亿开发者使用,他们为超过4.2亿个代码仓库做出了贡献。
[验证差距:自动化渗透测试回答一个问题。你需要六个。](https://hubs.li/Q048zztN0)
自动化渗透测试工具确实提供了真正的价值,但它们被设计用来回答一个问题:攻击者能否通过网络移动?它们并非被设计用来测试您的控制措施是否能阻止威胁、检测规则是否会触发,或者您的云配置是否有效。
本指南涵盖了您实际需要验证的6个方面。
相关文章:
TanStack攻击后因未进行令牌轮换导致Grafana被入侵
- [](https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/)
- [](https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/)
- [](https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/)
- [](https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/ "Email article")
- [](https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/# "Print article")
[](https://www.bleepingcomputer.com/author/sergiu-gatlan/)
##### Sergiu Gatlan[](mailto:sergiu@bleepingcomputer.com)[](https://twitter.com/serghei)
Sergiu是一名新闻记者,十多年来一直报道最新的网络安全和技术发展。通过电子邮件或Twitter私信提供线索。