四川
过去几年里,开发者圈子里一直有个默认共识:“从官方插件市场下载工具,至少是安全的。”——但现在,这个共识正在被一次次打破。
就在这两天,全球最大代码托管平台之一的 GitHub 官方确认:由于一名员工不慎安装了一款恶意 VS Code 扩展插件,GitHub 内部总计约 3800 个核心源码仓库被不法黑客窃取。
而这些被掳走的“弹药”,正摆在暗网的货架上待价而沽,开价高达 5 万美元!
GitHub 官方确认:员工设备遭恶意插件入侵
事件最初由海外安全媒体曝光,随后 GitHub 官方发布声明,确认公司内部确实发生了安全事件。
根据 GitHub 的说法,问题源于一名员工安装了“被投毒”的 VS Code 扩展插件。攻击者借此控制了该员工的设备,并进一步访问了 GitHub 内部代码仓库:“我们检测并控制了一起员工设备被入侵事件,事件涉及一个恶意 VS Code 扩展。”
在发现异常后,GitHub 迅速下架了恶意插件版本、隔离了受影响终端,并立即启动了安全事件响应流程,对内部访问权限进行进一步调查。
GitHub 目前的初步调查结果认为,此次攻击主要涉及 GitHub 内部仓库的数据外泄。而攻击者声称窃取“约 3800 个仓库”的说法,与官方目前掌握的信息“基本一致”。
CSDN读者高能福利
今日算力券已开放
扫码领取 100 小时云算力
黑客高调“卖货”:5 万美元起拍
真正让整个开发者社区炸锅的,是随后出现在地下论坛上的帖子。
一个名为 TeamPCP 的黑客组织,在臭名昭著的网络犯罪论坛 Breached 上公开发帖,声称自己已经获取了 GitHub 源代码以及“约 4000 个私有代码仓库”,并公开叫卖这些数据,起售价最低 5 万美元。
说到这里,先简单介绍一下这个 TeamPCP黑客团队。安全圈对这个名字应该并不陌生,这是一个长期专注于大规模供应链攻击的犯罪团伙,此前先后入侵了 Trivy、Checkmarx KICS、LiteLLM 及 Mistral AI 等数家顶级开源项目和科技公司的源代码库。
更戏剧性的是,TeamPCP 甚至放出狠话:
这种“退休前最后狠狠干一票”的口吻,很快就在开发者社区疯狂传播。虽然目前还无法确认攻击者究竟掌握了哪些具体代码,但仅“GitHub 内部仓库泄露”这一点,本身就已经足够敏感。
截至目前,GitHub 已全面接入调查,并承诺在收集完所有证据后,将发布完整安全报告。
一个 VS Code 插件,为什么威力这么大?
很多人看到这则新闻后的第一反应可能是:“一个插件,真能搞出这么大事故?”答案是:能,而且比很多人想象得更容易,因为 VS Code 插件本身就拥有极高权限。
问题在于:开发者通常会默认信任“官方插件市场”,可现实是,官方市场并不意味着绝对安全。
实际上,这已经不是 VS Code第一次爆出恶意插件问题了。过去几年中,大量恶意插件都曾成功混入官方插件市场,并造成大规模安全事故。例如:
不仅如此,今年 1 月两款伪装成“AI 编程助手”的恶意插件也再次引发关注,累计安装量达到 150 万次,会将开发者设备中的数据上传到海外服务器——也就是说:开发者如今最常使用的 AI Coding、自动补全、代码生成类插件,正在成为新的高危攻击入口。
一旦开发者安装,恶意插件就能获得对本地开发环境的大量访问权限。而在大型科技公司里,一个员工的开发机,往往连接着大量核心系统——这次被攻击的 GitHub 就是如此。
于是,一条攻击链就形成了:恶意插件 → 开发者电脑 → 内部仓库 → 企业核心资产——很多时候,攻击者甚至不需要正面突破公司服务器,他们只需要“攻陷开发者”。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
