GitHub确认遭遇供应链入侵近四千私有内部仓库数据泄露

5月20日，代码托管平台 GitHub 接连发布多份官方安全公告，证实平台内部代码仓库遭遇非法未授权访问，本次安全入侵事件源头锁定为员工终端感染恶意 VS Code 插件。

隶属于微软旗下的 GitHub 表示，安全团队监测到有携带恶意程序的 Visual Studio Code 扩展大肆传播，部分内部员工设备不幸中招，攻击者借此突破边界进入内网。察觉风险后，GitHub 第一时间下架问题恶意插件、隔离所有中招办公设备，同步启动全方位安全应急处置流程。

此次入侵事件由知名网络威胁组织 TeamPCP（谷歌威胁情报机构编号 UNC6780）公开认领，该团伙对外宣称，已成功窃取 GitHub 平台近 4000 个核心私有内部仓库源码数据，并且打算在相关交易论坛公开兜售这批泄露数据，标价超 5 万美元。

据安全行业情报记录，TeamPCP 是专攻企业研发体系的高危攻击团伙，擅长盗取 CI/CD 流水线密钥、高权限访问令牌，以此横向渗透企业内网。进入 2026 年以来，该组织已发起多起大规模高危网络攻击，曾利用高危漏洞入侵漏洞扫描工具波及上千家企业，还针对多款主流研发流水线工具实施批量账号凭证窃取，攻击经验十分成熟。

不过 GitHub 官方对外明确表态，经过初步全面核查，本次泄露范围仅局限于平台自身内部仓库资源，广大普通开发者、企业商户存放的用户私有仓库数据暂时未受到波及，平台也已第一时间定向提醒相关关联用户做好安全自查。

事件完整时间线梳理：

5 月 19 日

威胁组织率先在相关论坛放出消息，宣称手握 GitHub 内部架构源码与海量私有仓库资源；同日 GitHub 发布简短公告，证实正在排查内网非法访问行为，对外澄清暂无用户数据泄露迹象。

5 月 20 日

GitHub 更新详细安全通报，正式确认入侵起因是员工设备安装了被篡改投毒的 VS Code 恶意扩展；随后官方核实最终泄露数量，确认共计约 3800 个内部仓库遭到窃取，与组织爆料信息基本吻合。

核心攻击手段：

本次入侵最值得警惕的攻击方式，就是利用IDE 开发插件实施供应链投毒。攻击者将恶意代码植入主流 VS Code 扩展当中，普通开发者一旦安装使用，就会在毫无察觉的情况下泄露本地密钥、登录令牌、账号凭证等核心敏感信息。

此前业内知名 Nx Console 插件也曾遭遇同款恶意篡改攻击，已有少量开发者用户因此出现信息被盗情况。

为彻底封堵安全漏洞，GitHub 紧急落实多项风控举措：连夜批量轮换全平台核心密钥与高权限凭证，优先处置高危权限账号；全面隔离清理受入侵办公设备；全网下架清除所有恶意插件安装渠道；全天候抓取分析系统运行日志，严防攻击者二次渗透。

此次事件也再次敲响行业警钟，如今网络攻击重心逐步转向开发者常用工具、编辑器插件、代码依赖包等研发常用资源，这类日常使用的正规工具一旦被植入后门，能够轻松绕过传统防火墙与安全防护体系，隐秘窃取各类核心机密数据。

目前 GitHub 安全团队仍在持续深度复盘入侵全过程，逐一核验密钥更换成效，全天候监控平台异常访问行为，后续还会根据排查结果出台完整整改方案，并对外发布正式完整事件调查报告。