一個被稱為teampcp的高級持續性威脅組織近日高調宣稱,已成功滲透github的內部系統,並計劃透過「專屬直接出售」的方式,將其核心源碼與組織架構資訊公開出售——此舉有別於傳統勒索軟體,而是針對特定買家進行量身定製的資料交易。儘管該組織尚未提供任何可驗證的樣本,僅釋出了數個目錄結構與介面截圖,github官方仍緊急證實了這起事件:初步調查顯示,約有3,800個內部代碼倉庫遭竊,涵蓋多款關鍵產品與安全基礎設施。
受影響的倉庫涵蓋github的核心研發與營運系統,包括ai程式設計助理github copilot的全棧代碼庫、企業級部署平台github enterprise server的版本管理模組、紅隊攻防演練框架、漏洞協調回應系統、ui層xss防護增強研究專案,以及印度地區營運與chatops權限治理等內部支援系統。部分曝光的檔案名稱更直接指向敏感模組,例如:
- `raycast-github-copilot.tar.gz`
- `chiedo-copilot-cli-skills.tar.gz`
- `github-enterprise-server-release-notifier.tar.gz`
- `github-security-risk-reporting.tar.gz`
- `red-team.tar.gz`
- `github-ui-xss-hardening-research.tar.gz`
- `github-india.tar.gz`
- `repo-custom-claims-chatops.tar.gz`
追蹤分析顯示,攻擊鏈始於一名github員工安裝了一個被篡改的visual studio code擴展——該插件由一位第三方開發者維護,而其開發環境早已被teampcp植入一種蠕蟲型後門。利用這一入口,攻擊者竊取了憑證,並回溯簽署惡意更新,從而實現自動化的橫向移動。在發現異常行為後,github迅速下架受感染的擴展,隔離受影響的終端節點,並強制執行所有高權限憑證的輪換。鑑於該蠕蟲傳播機制的隱蔽性與擴展性,團隊仍在持續檢閱日誌,尋找可能受影響的資產,以防止二次入侵。
目前,github已啟動全面的安全審查,並將於近期公布完整的調查報告,揭露技術細節及防禦改進的途徑。
