摘要:GitHub内部仓库遭恶意VS Code扩展程序入侵,威胁组织Teampcp声称已窃取近4000个私有仓库数据并拟以5万美元出售。平台已清除恶意软件并启动凭证轮换,但加密领域安全警报持续拉响。
币圈界报道:
黑客通过恶意扩展侵入GitHub核心系统
攻击者利用嵌入恶意代码的VS Code插件攻陷员工终端,进而获取对GitHub内部资源的未授权访问权限。事件曝光后,一名自称Teampcp的网络犯罪分子在暗网论坛上宣称已掌握约4000个私有仓库内容,并标价不低于5万美元进行一次性售卖。
官方确认漏洞路径,强调用户数据未受影响
GitHub在其官方社交媒体渠道连发声明,证实此次事件源于员工设备安装的非法扩展程序。公司表示已立即隔离受感染主机并移除恶意组件,同时明确指出目前无证据显示外部存储的用户数据(包括企业、团队及个人项目)遭到泄露。
为降低风险,平台已优先执行关键密钥的轮换操作,并正在全面审查系统日志以识别潜在残留威胁。调查进展将在后续阶段对外披露。
暗网交易帖引发可信度争议
法国安全研究员塞巴斯蒂安·拉通贝在一处地下信息平台上发现一则由疑似Teampcp发布的公告,其中列出了涉及GitHub多项核心服务的仓库清单。该发布者声称无意勒索,仅愿将全部数据打包售予单一买家。
值得注意的是,微软与GitHub尚未对上述信息作出正式回应。鉴于此类平台普遍存在夸大战果的现象,相关声明的真实性仍需结合多方验证,不可轻信。
加密行业安全防线面临严峻考验
本次事件迅速波及数字资产领域,引发广泛担忧。币安联合创始人赵长鹏紧急提醒开发者,凡在代码中硬编码API密钥者应立即核查并更换。多位技术专家参与讨论,Topaz DEX创始人亚伦·沙姆斯指出,即使仓库设为私有,存储敏感凭证仍属高危行为。
部分开发者反映,面对数百个密钥的管理压力,全面更新难度较大。数字创作者图特斯呼吁重构密钥管理体系,而安全分析师达努什·尼赫鲁则点出当前VS Code插件权限机制存在监管盲区,凸显供应链安全短板。
多重攻击叠加,行业安全生态再受冲击
本月内,加密领域接连爆发多起重大安全事故:Echo协议遭遇攻击,伪造代币价值高达7670万美元;此前THORChain与Verus-以太坊桥接项目亦相继遭受数百万美元级资金损失。
这一系列事件促使社区重新审视软件开发流程中的验证机制。以太坊联合创始人维塔利克·布特林提出,借助人工智能驱动的形式化验证方法,或可实现对代码行为的数学层面可靠性证明,从而从根源提升系统韧性。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。