GitHub 确认员工设备被“投毒”扩展攻破，约 3800 个内部仓库遭外泄

GitHub 证实，其内部代码仓库发生未授权访问事件，源头是一名员工电脑安装了被投毒的 VS Code 扩展程序。公司称，攻击者声称获取的约 3800 个内部仓库数量，与当前调查判断“方向一致”。GitHub 已紧急移除恶意扩展、隔离终端并轮换关键密钥，同时强调暂无证据显示客户代码或企业仓库受到影响，相关调查仍在持续。

另外有安全圈人士和部分媒体援引黑客论坛信息称，外泄内容可能涉及 Copilot、CodeQL 等核心项目源码。

GitHub

• GitHub Copilot 桌面应用开放技术预览
• npm 曝大规模供应链攻击：TanStack 生态被投毒，可窃取云密钥与GitHub令牌
• GitHub 就近期故障致歉并披露 30 倍扩容计划
• GitHub 将于 6 月在旧金山总部举办 OpenClaw 社区交流活动
• GitHub 内部 git 基础设施远程代码执行漏洞(CVE-2026-3854)影响 GHES 与

• 🔥免费PC翻墙、安卓VPN翻墙APP
• 🔥灵魂之谜|中华文化|治国大道

🌸 在花频道 · 备用频道 · 投稿通道