GitHubが汚染されたVS Code拡張機能による3,800リポジトリの侵害を確認

GitHubは深刻な内部セキュリティー侵害に対処しています。同社は2026年5月20日、ハッカーが不正なVS Code拡張機能を使用して従業員のデバイスに侵入し、約3,800件の内部リポジトリへの不正アクセスを取得したことを確認しました。 

GitHubは迅速に対応し、検知から数時間以内にデバイスを隔離し、悪意ある拡張機能を削除し、重要な認証情報をローテーションしました。重要なのは、現時点で顧客データ、エンタープライズアカウント、またはユーザーリポジトリへの影響を示す証拠はないと同社が述べている点です。本日のGitHubニュースは、プライベートリポジトリにAPI キーを保存しているすべての開発者への警鐘です。

攻撃の経緯

攻撃ベクターは巧妙にシンプルなものでした。脅威アクターはVS Code拡張機能内にマルウェアを埋め込み、GitHub従業員がその不正バージョンをインストールしました。その後、攻撃者は従業員のデバイスへのアクセスを取得し、内部リポジトリからのデータ窃取を開始しました。

GitHubは公開スレッドで経緯を直接確認しました。「昨日、不正なVS Code拡張機能を含む従業員デバイスの侵害を検知し、封じ込めました」と同社は述べました。「悪意ある拡張機能のバージョンを削除し、エンドポイントを隔離し、直ちにインシデント対応を開始しました。」

脅威グループTeamPCPはその後、地下サイバー犯罪フォーラムで責任を主張しました。同グループは約4,000件のプライベートリポジトリからデータを取得したと主張しており、独自のプラットフォームソースコードや内部組織ファイルが含まれ、そのデータセットを5万ドル以上で売却しようとしていると報告されています。GitHubは、攻撃者の約3,800件のリポジトリという主張は、これまでの調査結果と「方向性として一致している」と評価しています。

GitHubの対応

セキュリティー侵害への対応は複数の面で同時に進められました。GitHubは検知当日に重要なシークレットをローテーションし、最も影響の大きい認証情報を優先しました。セキュリティーチームは影響を受けたエンドポイントを直ちに隔離しました。アナリストは後続活動の有無についてログを継続的に調査しています。また、マーケットプレイスから悪意あるVS Code拡張機能のバージョンが削除されました。GitHubは調査完了後に詳細なレポートを公開することを約束し、顧客への影響が判明した場合には確立されたインシデント対応チャネルを通じて顧客に通知することを誓約しました。

業界の反応

より広い開発者コミュニティも迅速に反応しました。Binance創業者のCZは自身のフォロワーに直接アドバイスを発信しました。「コード内にAPI キーがある場合、プライベートリポジトリであっても、今すぐ再確認して変更する時です」と投稿し、GitHubのセキュリティー侵害ニュースを世界中の何百万もの開発者に伝えました。このアドバイスは予防的なものではなく、緊急性を帯びています。開発者はプライベートリポジトリ内にAPI キー、認証トークン、サービス認証情報を頻繁に保存しており、外部への露出から安全だと思い込んでいます。

開発者にとっての大局的な意味

GitHubからのこの規模のセキュリティー侵害ニュースは、非常に大きな影響をもたらします。GitHubは1億件以上のリポジトリをホストし、グローバルな開発者エコシステムの主要なコードインフラとして機能しているためです。したがって、顧客データの露出がない場合でも、内部リポジトリを標的とした侵害は、サプライチェーンの脅威が示す巨大な攻撃対象範囲を明らかにしています。

開発者にとって、3つの即時対応が重要です。まず、プライベートかパブリックかを問わず、リポジトリに保存されているAPI キーをローテーションすること。次に、VS Codeの拡張機能リストを監査し、未検証のものをすべて削除すること。最後に、リポジトリのシークレットスキャンを有効化して、露出した認証情報を自動的に検出すること。調査は進行中ですが、GitHubのこれまでの透明性は注目に値します。公開される詳細なレポートは、テック業界のすべてのセキュリティーチームにとって必読となるでしょう。

The post GitHub Confirms Breach of 3,800 Repos via Poisoned VS Code Extension  appeared first on Coinfomania.