11分鐘VS Code毒外掛放倒員工電腦，GitHub承認3800個內部倉庫遭竊取

5 月 20 日（UTC+8），據動察 Beating 監測，GitHub 官方釋出安全調查公告，確認因一名員工裝置感染了被投毒的 VS Code 外掛，導致其內部程式碼倉庫遭遇未經授權的訪問。攻擊者聲稱已打包竊取了 GitHub 約 3800 個內部倉庫，官方承認此說法與目前的調查結果在方向上一致。 涉事惡意外掛為 5 月 18 日在微軟 Visual Studio Code 市場短暫上架的知名擴充套件 Nx Console（v18.95.0 版本）。攻擊者通過竊取貢獻者 Token 獲得了釋出許可權，將包含憑證竊取器的惡意版本推送到應用市場。 雖然 Nx 團隊在 11 分鐘內就檢測到異常並撤下了此版本，但依然有 GitHub 員工在此期間下載並中招。此惡意載荷在後臺會自動讀取主機的 Git 憑證、VS Code 擴充套件儲存、AWS 金鑰及 1Password 敏感資料。這套憑證讓外部攻擊者得以繞過外圍的安全阻隔，直接打包竊取了 GitHub 內部的程式碼庫。 GitHub 表示已在 5 月 19 日檢測並控制了這起裝置入侵。為了降低風險，安全團隊在昨天及夜間加急輪換了所有關鍵金鑰，並對高價值憑證進行了優先處理。目前團隊正持續分析日誌並監控後續活動，完整報告將在調查結束後公佈。 [BlockBeats]