近日，全球最大代码托管平台GitHub，因员工安装恶意VSCode插件，约3800个内部代码仓库被非法窃取。

事件核心：恶意插件“潜伏”，员工设备成突破口

GitHub官方通报显示，此次入侵的源头的是一款被“毒化”的VSCode插件——公司一名员工不慎安装后，设备被攻击者控制，进而导致内部仓库信息被窃取。

发现异常后，GitHub迅速采取应急措施：立即移除了这款未公开名称的恶意插件，隔离了被入侵的员工设备，并启动全面的事件调查，目前已完成关键密钥轮换，进一步降低安全风险。

官方明确表示，截至目前，此次泄露仅涉及GitHub内部仓库，未发现受影响仓库之外的客户数据被波及，这也让不少依赖GitHub的企业暂时松了口气。

黑客嚣张叫板：要价5万美元，否则直接泄露

黑客组织TeamPCP声称，他们不仅获取了GitHub的源代码，还控制了约4000个私人代码仓库（与GitHub调查的3800个大致吻合），并公开叫价：最低5万美元出售被盗数据。

更嚣张的是，TeamPCP表示这并非勒索：“只要有一个买家，我们就会销毁手头的数据；如果没人购买，我们将免费泄露——看来我们的‘退休计划’很快就要实现了。”

警示：VSCode恶意插件早已屡见不鲜

可能有开发者会疑惑，VSCode插件怎么会成为攻击突破口？事实上，VSCode插件作为可扩展编辑器功能的工具，需从官方市场下载安装，但恶意插件往往伪装成正规工具，趁机窃取敏感信息，这类事件近年来早已频发。

梳理过往案例，每一起都触目惊心：

- 去年，多款累计安装量达900万次的VSCode插件因安全风险被下架；另有10款伪装成正规开发工具的插件，暗中植入XMRig挖矿程序，感染大量用户设备。

- 同年晚些时候，黑客WhiteCobra向VSCode市场批量上传24款偷币插件，其中一款还带有基础勒索功能，成功“混过”审核上架。

- 今年1月，两款标榜“AI编程助手”的恶意插件，累计安装量达150万次，暗中将开发者设备中的数据窃取至中国境内服务器。

这些案例都说明，开发者日常使用的工具，很可能成为黑客攻击的“突破口”，尤其是高频使用的VSCode插件，更需提高警惕。

调查仍在继续，安全防护刻不容缓

目前，GitHub的事件调查仍在推进中，官方表示将根据调查结果采取进一步措施，并在后续发布完整报告。

对于广大开发者和企业而言，此次事件也给出了明确警示：

✅ 谨慎安装VSCode插件，优先选择官方认证、下载量高、评价良好的插件；

✅ 定期检查已安装插件，及时卸载陌生、无用的插件，降低安全风险；

✅ 企业需加强员工安全培训，规范开发设备使用，避免因个人操作疏忽引发安全事故。

对于开发者而言，代码和数据就是核心资产，稍有不慎，就可能面临不可挽回的损失。

资讯来源：GitHub官方通报、BleepingComputer、Breached cybercrime forum

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！