GitHub 确认内部系统遭恶意 VS Code 插件入侵
GitHub 官方于近日发布安全调查公告,披露其内部代码仓库遭遇未经授权的访问。事件起因是一名员工设备感染了被植入恶意代码的 VS Code 扩展程序。攻击者声称已打包窃取了 GitHub 约 3800 个内部仓库,官方表示初步调查结果与该说法方向一致。
攻击路径:知名插件遭投毒
涉事恶意插件为 Nx Console(v18.95.0 版本),一款在微软 Visual Studio Code 市场上架的知名扩展。调查发现,攻击者通过窃取该插件贡献者的发布令牌,获得了向应用市场推送更新版本的权限。随后,一个包含凭证窃取器的恶意版本被推送至 VS Code 市场。
11 分钟的窗口期
Nx 团队在插件上架仅 11 分钟后便检测到异常行为,并迅速将其撤下。然而,在此期间已有 GitHub 员工下载并安装了该版本。恶意载荷随后在后台执行自动化操作,包括:
- 读取主机上的 Git 凭证
- 窃取 VS Code 扩展存储数据
- 提取 AWS 访问密钥
- 搜集 1Password 密码管理器中的敏感数据
这批凭证为攻击者提供了突破外围安全防线的通道,使其得以直接打包下载 GitHub 内部代码库。
GitHub 回应:密钥轮换与持续监控
GitHub 表示已于 5 月 19 日检测到入侵并完成初步控制。为降低风险,安全团队加急轮换了所有关键密钥,并对高价值凭证进行了优先处理。目前团队正持续分析日志并监控后续活动,完整调查报告将在调查结束后对外公布。
此次事件再次凸显了软件开发供应链中第三方依赖项的安全风险。插件市场作为开发者工作流的关键环节,一旦被攻击者渗透,可能导致大规模的信息泄露。