四川
過去幾年里,開發者圈子里一直有個默認共識:“從官方插件市場下載工具,至少是安全的。”——但現在,這個共識正在被一次次打破。
就在這兩天,全球最大代碼托管平臺之一的 GitHub 官方確認:由于一名員工不慎安裝了一款惡意 VS Code 擴展插件,GitHub 內部總計約 3800 個核心源碼倉庫被不法黑客竊取。
而這些被擄走的“彈藥”,正擺在暗網的貨架上待價而沽,開價高達 5 萬美元!
GitHub 官方確認:員工設備遭惡意插件入侵
事件最初由海外安全媒體曝光,隨后 GitHub 官方發布聲明,確認公司內部確實發生了安全事件。
根據 GitHub 的說法,問題源于一名員工安裝了“被投毒”的 VS Code 擴展插件。攻擊者借此控制了該員工的設備,并進一步訪問了 GitHub 內部代碼倉庫:“我們檢測并控制了一起員工設備被入侵事件,事件涉及一個惡意 VS Code 擴展。”
在發現異常后,GitHub 迅速下架了惡意插件版本、隔離了受影響終端,并立即啟動了安全事件響應流程,對內部訪問權限進行進一步調查。
GitHub 目前的初步調查結果認為,此次攻擊主要涉及 GitHub 內部倉庫的數據外泄。而攻擊者聲稱竊取“約 3800 個倉庫”的說法,與官方目前掌握的信息“基本一致”。
CSDN讀者高能福利
今日算力券已開放
掃碼領取 100 小時云算力
黑客高調“賣貨”:5 萬美元起拍
真正讓整個開發者社區炸鍋的,是隨后出現在地下論壇上的帖子。
一個名為 TeamPCP 的黑客組織,在臭名昭著的網絡犯罪論壇 Breached 上公開發帖,聲稱自己已經獲取了 GitHub 源代碼以及“約 4000 個私有代碼倉庫”,并公開叫賣這些數據,起售價最低 5 萬美元。
說到這里,先簡單介紹一下這個 TeamPCP黑客團隊。安全圈對這個名字應該并不陌生,這是一個長期專注于大規模供應鏈攻擊的犯罪團伙,此前先后入侵了 Trivy、Checkmarx KICS、LiteLLM 及 Mistral AI 等數家頂級開源項目和科技公司的源代碼庫。
更戲劇性的是,TeamPCP 甚至放出狠話:
這種“退休前最后狠狠干一票”的口吻,很快就在開發者社區瘋狂傳播。雖然目前還無法確認攻擊者究竟掌握了哪些具體代碼,但僅“GitHub 內部倉庫泄露”這一點,本身就已經足夠敏感。
截至目前,GitHub 已全面接入調查,并承諾在收集完所有證據后,將發布完整安全報告。
一個 VS Code 插件,為什么威力這么大?
很多人看到這則新聞后的第一反應可能是:“一個插件,真能搞出這么大事故?”答案是:能,而且比很多人想象得更容易,因為 VS Code 插件本身就擁有極高權限。
問題在于:開發者通常會默認信任“官方插件市場”,可現實是,官方市場并不意味著絕對安全。
實際上,這已經不是 VS Code第一次爆出惡意插件問題了。過去幾年中,大量惡意插件都曾成功混入官方插件市場,并造成大規模安全事故。例如:
不僅如此,今年 1 月兩款偽裝成“AI 編程助手”的惡意插件也再次引發關注,累計安裝量達到 150 萬次,會將開發者設備中的數據上傳到海外服務器——也就是說:開發者如今最常使用的 AI Coding、自動補全、代碼生成類插件,正在成為新的高危攻擊入口。
一旦開發者安裝,惡意插件就能獲得對本地開發環境的大量訪問權限。而在大型科技公司里,一個員工的開發機,往往連接著大量核心系統——這次被攻擊的 GitHub 就是如此。
于是,一條攻擊鏈就形成了:惡意插件 → 開發者電腦 → 內部倉庫 → 企業核心資產——很多時候,攻擊者甚至不需要正面突破公司服務器,他們只需要“攻陷開發者”。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
