一名黑客通过诱骗员工安装恶意VS Code扩展,入侵了GitHub的内部系统。攻击者在被公司察觉前,盗取了GitHub自身约3800个仓库的代码。GitHub表示,没有客户项目、组织或账户受到影响——但加密货币行业正密切关注,因为同样的技术可能被用于攻击交易所、钱包提供商和DeFi协议。
入侵是如何发生的
GitHub在员工无意中安装了一个恶意版本的VS Code扩展时发现了入侵。公司隔离了受感染的计算机,移除了该扩展,并轮换了关键密码。调查发现,攻击者声称的约3800个被盗仓库与内部调查结果相符。完整报告仍在准备中。
这不是GitHub第一次遭遇内部安全事件——但就仓库数量而言,这是最大规模之一。此次入侵与2026年早些时候的Vercel事件、2022年3Commas泄露约10万用户API密钥的事件,以及针对Bitwarden的供应链攻击(窃取钱包种子和开发者令牌)类似。
赵长鹏的直白警告
币安创始人赵长鹏没有等待官方报告。他警告开发者检查每个项目中隐藏的API密钥,并立即替换它们。他的建议是:即使私有仓库也应视为已遭入侵。在加密货币领域,暴露的API密钥可能导致交易账户资金被盗、钱包访问权限失窃、托管工具被攻破,或交易机器人被劫持。如果攻击者已渗透进GitHub自己的围墙内,私有仓库也并不安全。
为什么加密开发者应重视
开发者通常会将私钥、API令牌和构建机密留在代码、脚本或配置文件中——假设仓库在公司防火墙后是安全的。GitHub黑客事件表明这种假设是脆弱的。如果攻击者能植入恶意扩展并窃取内部仓库,那么任何在代码中存有有价值密钥的组织都是目标。特别是加密货币行业,其交易机器人、交易算法和钱包操作高度依赖API密钥;一次泄露可能带来灾难性后果。
时机也很糟糕。在经历今年一连串供应链和凭证盗窃事件后,该行业已处于紧张状态。GitHub的应对措施——隔离机器、轮换密码——是标准做法,但此次盗窃规模意味着某些密钥可能已在流通中。
GitHub表示将继续调查并发布详细报告。在此之前,开发者只能自行审计代码库,并希望攻击者没有发现任何关键信息。
