币圈界报道：

GitHub内部仓库遭大规模未授权访问，关键密钥已轮换

微软旗下代码托管平台GitHub近日披露，因员工终端设备被恶意入侵，导致约3800个内部代码仓库遭遇非授权访问。事件发生后，币安联合创始人赵长鹏迅速发声，敦促所有加密领域开发者立即检查并更新其代码仓库中可能暴露的API密钥与敏感凭证。

攻击链路溯源：恶意扩展程序为突破口

根据GitHub周三发布的官方声明，系统检测到异常行为与员工开发环境被攻陷有关。公司表示，已隔离受影响设备并启动应急响应机制，成功移除一个被篡改的Visual Studio Code扩展组件。尽管当前尚无证据显示外部客户数据遭到泄露，但此次事件波及范围明确指向内部系统。

安全机构追踪发现，此次攻击与名为TeamPCP的自动化网络犯罪团伙高度关联。该组织擅长通过污染开发工具链获取高权限凭证，并曾公开宣称拥有“4000个私有代码仓库”的访问权限，与实际受损数量接近。其攻击模式以快速、隐蔽著称，目标直指可变现的敏感配置信息。

加密生态面临双重风险：凭证外泄与钓鱼陷阱

在这一背景下，赵长鹏特别提醒开发者，即便密钥存放于私有仓库，仍存在被窃取风险。加密货币项目普遍依赖GitHub管理核心资产，包括交易所接口、云服务令牌、钱包密钥及部署脚本等关键资源，一旦泄露将直接危及资金安全。

GitHub方面表示，已对涉及运营安全的核心密钥完成强制轮换，优先处理高危凭证。目前调查仍在持续进行中，团队正深入分析日志记录，评估潜在后续影响，并承诺将在后续发布完整事件复盘报告。

行业安全压力加剧：接连曝出供应链攻击

此番事件并非孤立案例。数日前，可观测性平台Grafana Labs也报告一起类似攻击，攻击者下载部分代码后以数据泄露为由提出勒索要求。这再次凸显开发基础设施成为攻击者重点瞄准的目标。

今年三月，安全厂商OX Security揭露一场针对OpenClaw开源AI代理项目的钓鱼活动。攻击者伪装成社区成员，在问题讨论区诱导开发者点击虚假代币空投链接，进而引导至伪造网站。用户在连接钱包时，被诱导执行恶意脚本，导致资产被清空。

相关技术手段包含混淆的JavaScript代码和浏览器跟踪指令，同时具备自动清除痕迹的能力。OX Security建议用户屏蔽特定域名，并避免向新出现的网站连接钱包。

值得注意的是，币安此前也曾面临类似风险。2024年2月曝光的一起事件中，其内部架构图、认证代码及生产环境密码曾在GitHub上长期公开可见。尽管币安承认漏洞存在，但声称这些信息已脱离真实运行环境，对用户安全不构成实质性威胁。