关键要点:
- GitHub 证实黑客从约 3,800 个内部仓库中窃取了代码。
- 此次违规是由员工计算机上一个恶意的 VS Code 扩展程序引发的。
- 该事件加剧了加密货币行业对存储在代码中的 API 密钥安全性的担忧。
返回
GitHub 泄露事件波及 3,800 个仓库,引发 API 安全隐患
全球最大的代码托管平台 GitHub 发生安全漏洞,导致该公司约 3,800 个内部仓库泄露,引发了对软件供应链安全以及 API 密钥等敏感凭证暴露的广泛担忧。GitHub 于周三确认了这一事件。据称,该事件始于一名员工的设备被流行的代码编辑器 VS Code 的恶意扩展程序入侵。
“如果你的代码中含有 API 密钥,即使是私人仓库,现在也该仔细检查并更改它们了,”币安创始人赵长鹏在 X 上发布的一篇帖子中表示,这反映了加密行业的高度警觉。暴露的 API 密钥可能导致交易账户资金被盗或敏感加密基础设施被访问,这已让开发者们进入高度戒备状态。
GitHub 的调查显示,未经授权的活动始于周二,涉及从与 GitHub 主平台和内部组织相关的仓库中窃取代码。该公司表示,“没有证据表明存储在 GitHub 内部仓库之外的客户信息受到影响”,并且此后已删除了恶意扩展程序并隔离了受影响的终端。据报道,一个名为 TeamPCP 的黑客组织声称对此次攻击负责。
此次泄露突显了供应链攻击日益增长的威胁,黑客通过瞄准开发人员及其工具来进入更广泛的生态系统。在此次事件之前,Grafana Labs 也曾遭遇类似攻击,且 GitHub 服务器近期出现了严重的远程代码执行漏洞,这些都共同凸显了将凭据和敏感数据留在本应安全的私有代码库中的持续风险。这一事件再次提醒人们,大型技术提供商的内部系统仍然是高价值目标,可能对软件和加密行业产生连锁反应。
本文仅供参考,不构成投资建议。
