GitHub确认因恶意VSCode扩展导致3800个仓库遭入侵

# GitHub 证实：恶意 VS Code 扩展致 3800 个内部仓库遭入侵 来源：https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/ GitHub GitHub 已证实，由于一名员工安装了恶意的 VS Code 扩展，大约 3800 个内部仓库遭到入侵。 该公司随后从 VS Code 市场中移除了这个未具名的木马化扩展，并确保了受感染设备的安全。 "昨天，我们检测并控制了一起涉及被投毒的 VS Code 扩展的员工设备入侵事件。我们移除了恶意扩展版本，隔离了终端，并立即启动了事件响应流程，"该公司在 X 平台（https://x.com/github/status/2056949169701720157）上表示。 "我们目前的评估是，该活动仅涉及 GitHub 内部仓库的数据外泄。攻击者声称的约 3800 个仓库数量与我们迄今为止的调查方向基本一致。" 在此之前，GitHub 于周二晚间向 BleepingComputer 表示，正在调查关于未授权访问其内部仓库的指控（https://www.bleepingcomputer.com/news/security/github-investigates-internal-repositories-breach-claimed-by-teampcp/），并补充称，没有证据表明受影响仓库之外存储的客户数据受到了影响。 虽然 GitHub 尚未将此次入侵归因于某个特定组织，但 TeamPCP 黑客组织于周二在 Breached 网络犯罪论坛上声称获取了 GitHub 源代码以及"约 4000 个私有代码仓库"，并以至少 5 万美元的价格出售被盗数据。 "一如既往，这不是勒索，我们不在乎敲诈 GitHub，只要有一个买家，我们就会在己方销毁数据。看起来我们的退休日子快到了，所以如果找不到买家，我们会免费公开这些数据，"网络犯罪分子说道。"如果你感兴趣，请将报价发送至以下联系方式。我们不考虑低于 5 万美元的报价，出价最高者将得手。" TeamPCP 此前曾与针对开发者代码平台的大规模供应链攻击有关，涉及 GitHub（https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/）、PyPI（https://www.bleepingcomputer.com/news/security/backdoored-telnyx-pypi-package-pushes-malware-hidden-in-wav-audio/）、NPM（https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/）和 Docker（https://www.bleepingcomputer.com/news/security/trivy-supply-chain-attack-spreads-to-docker-github-repos/），最近还涉及“Mini Shai-Hulud”供应链活动（https://www.bleepingcomputer.com/news/security/openai-confirms-security-breach-in-tanstack-supply-chain-attack/）（该活动也影响了两名 OpenAI 员工）。 VS Code 扩展是可从 VS Code 市场（微软代码编辑器的官方插件商店）安装的插件，用于在编辑器中添加功能或集成工具。 这并非首个在市场中被发现的木马化 VS Code 扩展。过去几年中，已有多个恶意扩展拥有数百万次安装，被用于窃取开发者凭证及其他敏感数据。 例如，去年，拥有 900 万次安装的 VS Code 扩展因安全风险被撤下（https://www.bleepingcomputer.com/news/security/vscode-extensions-with-9-million-installs-pulled-over-security-risks/），另有 10 个伪装成合法开发工具的扩展感染了用户 XMRig 加密货币挖矿软件（https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-infect-windows-with-cryptominers/）。 同年晚些时候，一个具备基本勒索功能的恶意扩展（https://www.bleepingcomputer.com/news/security/ai-slop-ransomware-test-sneaks-on-to-vs-code-marketplace/）潜入 VS Code 市场，此前一名名为 WhiteCobra 的威胁行为者用 24 个窃取加密货币的扩展（https://www.bleepingcomputer.com/news/security/whitecobra-floods-vscode-market-with-crypto-stealing-extensions/）淹没了该市场。 最近，在今年 1 月，两个被宣传为 AI 编程助手、拥有 150 万次安装的恶意扩展（https://www.bleepingcomputer.com/news/security/malicious-ai-extensions-on-vscode-marketplace-steal-developer-data/）将从受感染开发者系统中窃取的数据外泄至中国服务器。 GitHub 的云平台目前已被超过 400 万家组织（包括 90% 的财富 100 强企业）和超过 1.8 亿开发者使用，他们共同贡献了超过 4.2 亿个代码仓库。 文章图片（https://hubs.li/Q048zztN0） ## 验证缺口：自动化渗透测试只回答了一个问题。你需要六个。（https://hubs.li/Q048zztN0） 自动化渗透测试工具确实能提供实际价值，但它们的设计初衷只是回答一个问题：攻击者能否在网络中横向移动？它们并非用于测试你的控制措施是否能阻挡威胁、你的检测规则是否能触发、或者你的云配置是否稳固。 本指南涵盖了实际需要验证的 6 个层面。 立即下载（https://hubs.li/Q048zztN0）