GitHub被駭了！核心原始碼遭竊，原來是員工裝了「這個」擴充套件惹禍

全球開發者的程式碼聖地 GitHub 如今自身難保。

一個名為 TeamPCP、專門針對軟體供應鏈發動攻擊的駭客組織，日前在暗網論壇高調發布商業廣告，宣稱他們已經成功駭入 GitHub 的內部網路，並打包竊取了包含 GitHub 核心功能原始碼與內部組織架構在內的龐大機密資料。

與常見的勒索軟體集團不同，TeamPCP 在聲明中明確表示，他們這次的行動「不是為了向 GitHub 勒索贖金」，而是要將這些極具價值的核心原始碼「直接獨家出售」給有興趣的買家，因為他們深知微軟（Microsoft）旗下的 GitHub 幾乎不可能為了保密而妥協支付贖金。

雖然 TeamPCP 在論壇上並未直接釋出任何可供驗證的樣本程式碼，僅張貼了包含原始碼倉庫目錄的樹狀結構與部分截圖，但其展現出的強大自信與入侵深度，已經震撼了全球資安界。

根據駭客公布的部分壓縮檔清單，此次遭竊的內容堪稱 GitHub 的「神經中樞」，其中包括了 AI 輔助寫碼神器 GitHub Copilot（raycast-github-copilot.tar.gz）、專供大型企業客戶使用的 GitHub Enterprise Server、內部用來測試系統弱點的紅隊（Red Team）工具庫，甚至連專門用於漏洞管理、風險報告以及防範 XSS 攻擊的修補程式庫都全數落入駭客手中。

如果這些原始碼被其他國家級駭客或惡意組織取得，全球數千萬依賴 GitHub 服務的開發者與企業，將面臨難以估算的供應鏈攻擊風險。

漏洞源頭：員工誤裝「染毒版」VS Code 擴充套件

面對排山倒海的輿論壓力，GitHub 官方隨後正式對外發表聲明，坦承公司內部確實發生了嚴重的資料外洩事件，經過初步盤點，確認約有高達 3,800 個內部原始碼倉庫被駭客非法存取並下載。然而，這起史詩級災難的突破口，並不是 GitHub 堅如磐石的伺服器防火牆被直接攻破，而是出在「人」與「開發工具」的脆弱環節上。

GitHub 的安全調查小組追蹤後發現，攻擊的源頭來自一名 GitHub 內部員工的工作設備。這名員工在不知情的情況下，於開發環境中安裝了一款含有惡意後門的 Visual Studio Code（VS Code）擴充套件。資安專家推測，這款擴充套件的原始開發者很可能已經先一步成為 TeamPCP 蠕蟲病毒的受害者（其開發憑證遭竊），導致駭客得以利用合法憑證發布了被「加料」的更新版本。當 GitHub 員工下載並執行這個染毒的擴充套件後，潛藏的惡意程式便悄悄在背景竊取了該員工的高權限存取憑證，進而讓 TeamPCP 能夠長驅直入 GitHub 的內部代碼庫，如入無人之境般地大肆搜刮。

在偵測到異常的資料外流活動後，GitHub 安全團隊迅速採取了緊急應變措施，第一時間從全公司的環境中刪除該款惡意擴充套件，並將受感染員工的設備徹底進行網路隔離。為了防堵駭客利用已經取得的權限進行更深層的破壞，GitHub 隨即啟動了災難復原級別的防禦協議，強制輪換（Rotate）了所有可能受影響的關鍵系統憑證、API 金鑰與內部存取權限。

儘管目前火勢看似已被控制，但 GitHub 官方坦言，考量到 TeamPCP 所使用的蠕蟲病毒具備高度的潛伏與擴散能力，他們必須持續進行深入的日誌分析與全網段監控，以確保這隻蠕蟲沒有趁機感染其他內部系統，或者透過其他員工的工作站竊取更多高權限憑證。

這起事件再次敲響了軟體供應鏈安全的警鐘。即便是像 GitHub 這樣擁有全球頂尖資安防護能力的科技巨頭，依然可能因為一個看似微不足道的第三方擴充套件而全面淪陷。GitHub 表示，在徹底完成本次事件的安全調查後，將對外發布一份詳細的事故分析報告，與全球資安社群分享經驗，以期共同防堵這類利用開發者工具進行的複雜供應鏈攻擊。