關鍵要點:
- GitHub 證實駭客從約 3,800 個內部儲存庫中竊取了代碼。
- 此次違規是由員工電腦上一個惡意的 VS Code 擴充功能引發的。
- 該事件加劇了加密貨幣行業對存儲在代碼中的 API 金鑰安全性的擔憂。
返回
GitHub 洩漏事件波及 3,800 個儲存庫,引發 API 安全隱患
全球最大的代碼託管平台 GitHub 發生安全漏洞,導致該公司約 3,800 個內部儲存庫洩漏,引發了對軟件供應鏈安全以及 API 金鑰等敏感憑證暴露的廣泛擔憂。GitHub 於週三確認了這一事件。據稱,該事件始於一名員工的設備被流行的代碼編輯器 VS Code 的惡意擴充功能入侵。
「如果你的代碼中含有 API 金鑰,即使是私人儲存庫,現在也該仔細檢查並更改它們了,」幣安創始人趙長鵬在 X 上發布的一篇帖子中表示,這反映了加密行業的高度警覺。暴露的 API 金鑰可能導致交易帳戶資金被盜或敏感加密基礎設施被訪問,這已讓開發者們進入高度戒備狀態。
GitHub 的調查顯示,未經授權的活動始於週二,涉及從與 GitHub 主平台和內部組織相關的儲存庫中竊取代碼。該公司表示,「沒有證據表明存儲在 GitHub 內部儲存庫之外的客戶信息受到影響」,並且此後已刪除了惡意擴充功能並隔離了受影響的終端。據報導,一個名為 TeamPCP 的駭客組織聲稱對此次攻擊負責。
此次洩漏突顯了供應鏈攻擊日益增長的威脅,駭客通過瞄準開發人員及其工具來進入更廣泛的生態系統。在此次事件之前,Grafana Labs 也曾遭遇類似攻擊,且 GitHub 伺服器近期出現了嚴重的遠程代碼執行漏洞,這些都共同凸顯了將憑據和敏感數據留在本應安全的私有代碼庫中的持續風險。這一事件再次提醒人們,大型技術提供商的內部系統仍然是高價值目標,可能對軟件和加密行業產生連鎖反應。
本文僅供參考,不構成投資建議。
