水曜日、同社は、従業員の端末が侵害されたことを受けて、GitHubが自社の内部リポジトリへの不正アクセスを調査していると発表した。開発者向けプラットフォームは火曜日に侵害を検知し、封じ込めた。これには、アクセスを得るために使用された「毒を仕込まれた」VS Code拡張機能が含まれていた。GitHubは現在、内部リポジトリの外に保存された顧客情報への影響を裏づける証拠がないとしているが、同社はインフラを綿密に監視し、後続の動きがないか確認している。
GitHubは世界中の開発者にとって主要なプラットフォームであり、多くの人がそのサーバー上でオープンソースのプロジェクトやリポジトリを公開している。この事件は、攻撃者が資格情報の収集や不正アクセスに悪用する開発者ツールのサプライチェーン上の脆弱性を浮き彫りにしている。
インシデント対応と技術的詳細
GitHubは悪意のある拡張機能のバージョンを削除し、影響を受けたエンドポイントを隔離し、検知直後からインシデント対応手順を開始した。同社は、不正アクセスの全容を調査して、どの内部リポジトリが影響を受けたのかを確認すると述べた。
TeamPCPが責任を主張
Hackmanacによれば、TeamPCPというハッキング集団が、地下のハッカー掲示板で侵害の責任を負うと主張している。このグループはオンラインでGitHubのデータを売ろうと試み、「GitHubの主要プラットフォームおよび内部組織に関連する『非公開コード4,000件のリポジトリ』」があると述べた。
Security Weekによると、TeamPCPは高度で自動化の比重が高いハッキング集団で、侵害された開発者向けツールを、金銭的利益のための資格情報収集マシンに変えるという。
セキュリティに関する助言
Binanceの創業者Changpeng Zhaoは、開発者にセキュリティ運用を見直すよう助言した。「コードの中にAPIキーがあるなら、たとえ非公開リポジトリであっても、今こそ二重に確認して変更するタイミングです。」
開発者セキュリティにおける関連インシデント
GitHubのインシデントは、オープンソースのデータ可観測性企業であるGrafana Labsが、サプライチェーン攻撃を受けたと開示したのと同じ日に発生した。悪意のある行為者はGrafanaのGitHubリポジトリにアクセスし、そのコードベースをダウンロードした。攻撃者はデータの開示を脅しとしてランサム要求を出したが、Grafanaはそれに応じなかった。
この事件は、4月28日に公開された重要なリモートコード実行の脆弱性、CVE-2026-3854の開示に続くものだ。これは認証済みユーザーがGitHubのサーバー上で任意のコマンドを実行できるようにするものだった。重要な欠陥を発見したWiz Researchは、影響を受けたノード上で他のユーザーや組織が所有する数百万件の公開・非公開リポジトリがアクセス可能だったと報告している。
