攻击者利用伪装成正常开发工具的恶意VS Code插件,成功渗透一名员工终端设备,进而获取对GitHub内部源码仓库的未授权访问权限。据披露,此次入侵行动由名为Teampcp的威胁组织主导,其已在某地下论坛发布声明,宣称掌握逾4000个私有项目数据,并设定最低售价5万美元,拟一次性出售给单一买家。
GitHub在官方渠道连续发声,证实了该次安全事故的存在,并指出攻击源头为员工设备中安装的非法扩展程序。公司已立即隔离受感染主机,清除恶意软件,并执行核心凭证轮换,优先处理高危密钥。目前尚未发现用户部署于外部环境的仓库(包括企业、团队及个人)数据遭到泄露,但平台仍在全面审查系统日志,排查潜在后门。
法国网络安全研究员塞巴斯蒂安·拉通贝在一处非主流犯罪论坛中发现一则由自称Teampcp发布的公告,内容声称掌控多个与GitHub核心服务相关的敏感代码库。该行为者明确表示无意勒索,仅意在出售全部数据。然而,微软及GitHub均未正式回应此消息,考虑到网络黑市普遍存在夸大成果的现象,相关声明的可信度仍需进一步核实。
事件迅速波及整个去中心化领域。币安联合创始人赵长鹏紧急提醒开发者,必须立即核查并重置所有嵌入代码中的API密钥。多位技术领袖展开讨论,Topaz DEX创始人亚伦·沙姆斯强调,无论仓库是否公开,存储密钥均构成重大安全隐患。部分开发者反映,面对数百个密钥的复杂管理场景,全面更换操作极具挑战性。数字创作者图特斯呼吁重构密钥管理体系,而安全分析师达努什·尼赫鲁则指出当前扩展程序权限机制存在监管盲区,亟需强化审核流程。
继本月早前发生Echo协议被伪造代币攻击、损失高达7670万美元后,THORChain与Verus-以太坊桥接项目也接连遭受数百万美元级攻击。这一系列事件促使业界重新审视软件供应链安全问题。以太坊联合创始人维塔利克·布特林提出,借助人工智能辅助的形式化验证技术,可通过数学逻辑严格证明代码行为正确性,有望从根本上提升系统抗攻击能力。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.