最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
恶意VSCode扩展致GitHub 3800个仓库被入侵
时间:2026-06-02 15:54:01 编辑:袖梨 来源:一聚教程网
恶意VSCode扩展致GitHub 3800个仓库被入侵
GitHub日前证实,一场通过恶意VSCode扩展发起的攻击导致其3800个内部仓库遭入侵。该平台在官方声明中指出,攻击者利用了一款伪装成合法工具的VSCode扩展,成功绕过安全审查并窃取了认证凭证。这起事件不仅波及GitHub自身的基础设施,还影响了使用该扩展的开发者账户。
据了解,受感染的扩展在Visual Studio Code市场中上架已久,累计下载量相当可观。攻击者在其中嵌入了信息窃取代码,一旦开发者安装并授权,便会通过后门通道将仓库访问令牌回传至攻击者控制的服务器。GitHub安全团队在发现异常流量后紧急封锁了相关令牌,但据估算已有约3800个仓库被成功入侵。这之后,BleepingComputer等安全媒体进一步披露了技术细节:攻击向量直指CI/CD管道中的权限滥用,而非简单的凭证泄露。这意味着什么呢?攻击者不仅能读取代码,还能在构建过程中植入恶意修改。
被入侵的仓库范围确实挺广的,既有GitHub内部用于基础设施管理的私有仓库,也有部分使用该扩展的知名开源项目。Hacker News上对此事的讨论已有超过321条评论,不少人质疑为何一个扩展能拥有访问内部仓库的权限。安全研究员指出,这暴露了VSCode生态里一个长期被忽视的漏洞:开发者往往对“热门”扩展给予过高信任,而插件市场缺乏实时行为审计。
GitHub已向受影响的项目所有者发送通知,并建议所有开发者检查近期授权过的VSCode扩展列表,撤销任何不必要的权限。但问题的根源呢?真的只靠用户自律就能解决吗?目前来看,VSCode市场仍以开发者自我审查为主。
可以说,这次事件给整个AI开发社区敲响了警钟。在AI工具链日益依赖各种IDE扩展的今天,一场针对仓库的渗透就能让无数训练数据和模型代码暴露在风险下。没错,安全链条其实取决于每一个安装“便捷工具”时的点击。
GitHub承诺将强化扩展提交审核流程,并引入实时监控机制。未来版本可能会要求扩展声明所需权限,类似于移动应用的权限模型。不过,对于已经失窃的数据,行动得够快才行——否则,3800个仓库只是一串数字,而不是安全教训。