北京
整理 | 鄭麗媛
出品 | CSDN(ID:CSDNnews)
過去幾年里,開發者圈子里一直有個默認共識:“從官方插件市場下載工具,至少是安全的。”——但現在,這個共識正在被一次次打破。
就在這兩天,全球最大代碼托管平臺之一的 GitHub 官方確認:由于一名員工不慎安裝了一款惡意 VS Code 擴展插件,GitHub 內部總計約 3800 個核心源碼倉庫被不法黑客竊取。
而這些被擄走的“彈藥”,正擺在暗網的貨架上待價而沽,開價高達 5 萬美元!
GitHub 官方確認:員工設備遭惡意插件入侵
事件最初由海外安全媒體曝光,隨后 GitHub 官方發布聲明,確認公司內部確實發生了安全事件。
根據 GitHub 的說法,問題源于一名員工安裝了“被投毒”的 VS Code 擴展插件。攻擊者借此控制了該員工的設備,并進一步訪問了 GitHub 內部代碼倉庫:“我們檢測并控制了一起員工設備被入侵事件,事件涉及一個惡意 VS Code 擴展。”
在發現異常后,GitHub 迅速下架了惡意插件版本、隔離了受影響終端,并立即啟動了安全事件響應流程,對內部訪問權限進行進一步調查。
GitHub 目前的初步調查結果認為,此次攻擊主要涉及 GitHub 內部倉庫的數據外泄。而攻擊者聲稱竊取“約 3800 個倉庫”的說法,與官方目前掌握的信息“基本一致”。
CSDN讀者高能福利
今日算力券已開放
掃碼領取 100 小時云算力
咖啡券領取地址:https://s.csdn.cn/4nPsOp
黑客高調“賣貨”:5萬美元起拍
真正讓整個開發者社區炸鍋的,是隨后出現在地下論壇上的帖子。
一個名為 TeamPCP 的黑客組織,在臭名昭著的網絡犯罪論壇 Breached 上公開發帖,聲稱自己已經獲取了 GitHub 源代碼以及“約 4000 個私有代碼倉庫”,并公開叫賣這些數據,起售價最低 5 萬美元。
說到這里,先簡單介紹一下這個 TeamPCP黑客團隊。安全圈對這個名字應該并不陌生,這是一個長期專注于大規模供應鏈攻擊的犯罪團伙,此前先后入侵了 Trivy、Checkmarx KICS、LiteLLM 及 Mistral AI 等數家頂級開源項目和科技公司的源代碼庫。
從 TeamPCP 公布的目錄和截圖來看,此次 GitHub 被盜取的數據似乎涉及諸多“核心機密”:包括 GitHub Copilot、GitHub Enterprise Server 等關鍵項目,以及 Red Team、安全風險報告以及 GitHub UI 跨站腳本強化補丁等高度敏感的功能庫。
更戲劇性的是,TeamPCP 甚至放出狠話:
“這不是勒索,我們對敲詐 GitHub 沒興趣。只要有一個買家,我們就刪除自己手里的數據;但如果始終無人問津,我們可能會免費公開泄露——畢竟,我們快要‘退休’了。另外,低于 5 萬美元的報價不用來談,價高者得。”
這種“退休前最后狠狠干一票”的口吻,很快就在開發者社區瘋狂傳播。雖然目前還無法確認攻擊者究竟掌握了哪些具體代碼,但僅“GitHub 內部倉庫泄露”這一點,本身就已經足夠敏感。
截至目前,GitHub 已全面接入調查,并承諾在收集完所有證據后,將發布完整安全報告。
一個 VS Code 插件,為什么威力這么大?
很多人看到這則新聞后的第一反應可能是:“一個插件,真能搞出這么大事故?”答案是:能,而且比很多人想象得更容易,因為 VS Code 插件本身就擁有極高權限。
通常來說,這類插件可以讀取本地項目文件、掃描開發目錄、獲取環境變量、調用終端命令、訪問 Git 憑據、與遠程服務器通信等,獲得對本地開發環境的大量訪問權限。而開發者為了效率,往往又會安裝大量插件,尤其近年來 AI 編碼助手爆發后更是如此。
問題在于:開發者通常會默認信任“官方插件市場”,可現實是,官方市場并不意味著絕對安全。
實際上,這已經不是 VS Code第一次爆出惡意插件問題了。過去幾年中,大量惡意插件都曾成功混入官方插件市場,并造成大規模安全事故。例如:
去年,多款累計安裝量達到 900 萬次的 VS Code 插件因安全風險被緊急下架;
另有 10 個偽裝成正常開發工具的插件,被發現偷偷植入 XMRig 挖礦程序;
隨后,又有攻擊者 WhiteCobra 一口氣上傳了 24 個竊取加密貨幣錢包的惡意插件;
甚至還出現過帶有基礎勒索軟件能力的 VS Code 擴展。
不僅如此,今年 1 月兩款偽裝成“AI 編程助手”的惡意插件也再次引發關注,累計安裝量達到 150 萬次,會將開發者設備中的數據上傳到海外服務器——也就是說:開發者如今最常使用的 AI Coding、自動補全、代碼生成類插件,正在成為新的高危攻擊入口。
一旦開發者安裝,惡意插件就能獲得對本地開發環境的大量訪問權限。而在大型科技公司里,一個員工的開發機,往往連接著大量核心系統——這次被攻擊的 GitHub 就是如此。
于是,一條攻擊鏈就形成了:惡意插件 → 開發者電腦 → 內部倉庫 → 企業核心資產——很多時候,攻擊者甚至不需要正面突破公司服務器,他們只需要“攻陷開發者”。
參考鏈接:https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/
免費領取 100 小時 AI 算力|限時開放
? AI 算力資源
? 官方技術社群
? Workshop 與 AI Academy
? 開發者專屬福利
完成認證后,額外領取:
? 9.9 元瑞幸咖啡券(今日前 50 名)
咖啡券領取地址:https://s.csdn.cn/4nPsOp
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
