GitHub ยืนยันการละเมิดข้อมูล 3,800 รีโพซิทอรีผ่านส่วนขยาย VS Code ที่ถูกฝังมัลแวร์

GitHub กำลังเผชิญกับการละเมิดความปลอดภัยภายในที่ร้ายแรง บริษัทยืนยันเมื่อวันที่ 20 พฤษภาคม 2026 ว่าแฮกเกอร์ได้บุกรุกอุปกรณ์ของพนักงานโดยใช้ส่วนขยาย VS Code ที่ถูกฝังมัลแวร์ และได้เข้าถึงพื้นที่เก็บข้อมูลภายในโดยไม่ได้รับอนุญาตประมาณ 3,800 แห่ง 

GitHub ดำเนินการอย่างรวดเร็ว โดยแยกอุปกรณ์ออก ลบส่วนขยายที่เป็นอันตราย และเปลี่ยนข้อมูลรับรองที่สำคัญภายในไม่กี่ชั่วโมงหลังตรวจพบ ที่สำคัญ บริษัทระบุว่าขณะนี้ยังไม่มีหลักฐานว่าข้อมูลลูกค้า บัญชีองค์กร หรือพื้นที่เก็บข้อมูลของผู้ใช้ได้รับผลกระทบ ข่าว GitHub วันนี้เป็นสัญญาณเตือนสำหรับนักพัฒนาทุกคนที่มี API key เก็บไว้ใน private repos

เหตุการณ์การโจมตีเกิดขึ้นได้อย่างไร

เวกเตอร์การโจมตีนั้นดูเรียบง่ายอย่างหลอกลวง ผู้คุกคามฝังมัลแวร์ไว้ภายในส่วนขยาย VS Code พนักงาน GitHub ติดตั้งเวอร์ชันที่ถูกฝังมัลแวร์นั้น จากนั้นผู้โจมตีก็เข้าถึงอุปกรณ์ของพนักงานและเริ่มดึงข้อมูลจากพื้นที่เก็บข้อมูลภายใน

GitHub ยืนยันไทม์ไลน์โดยตรงในกระทู้สาธารณะ "เมื่อวานนี้เราตรวจพบและควบคุมการบุกรุกอุปกรณ์ของพนักงานที่เกี่ยวข้องกับส่วนขยาย VS Code ที่ถูกฝังมัลแวร์" บริษัทระบุ "เราได้ลบเวอร์ชันส่วนขยายที่เป็นอันตราย แยก endpoint ออก และเริ่มดำเนินการตอบสนองต่อเหตุการณ์ทันที"

กลุ่มภัยคุกคาม TeamPCP ได้อ้างความรับผิดชอบบนฟอรัมอาชญากรรมไซเบอร์ใต้ดิน กลุ่มดังกล่าวอ้างว่าได้รับข้อมูลจากพื้นที่เก็บข้อมูลส่วนตัวประมาณ 4,000 แห่ง ซึ่งรวมถึงซอร์สโค้ดแพลตฟอร์มที่เป็นกรรมสิทธิ์และไฟล์องค์กรภายใน และมีรายงานว่ากำลังพยายามขายชุดข้อมูลดังกล่าวในราคากว่า $50,000 GitHub ประเมินว่าการอ้างสิทธิ์ของผู้โจมตีที่ระบุว่าประมาณ 3,800 พื้นที่เก็บข้อมูลนั้น "สอดคล้องในทิศทางเดียวกัน" กับผลการสืบสวนที่พบในขณะนี้

การตอบสนองของ GitHub

การตอบสนองต่อการละเมิดความปลอดภัยดำเนินไปพร้อมกันในหลายแนวรบ GitHub เปลี่ยนข้อมูลลับที่สำคัญในวันเดียวกับที่ตรวจพบ โดยให้ความสำคัญกับข้อมูลรับรองที่มีผลกระทบสูงสุดก่อน ทีมรักษาความปลอดภัยแยก endpoint ที่ได้รับผลกระทบออกทันที นักวิเคราะห์กำลังตรวจสอบบันทึกอย่างต่อเนื่องเพื่อหากิจกรรมต่อเนื่องที่อาจเกิดขึ้น นอกจากนี้ marketplace ได้ลบเวอร์ชันส่วนขยาย VS Code ที่เป็นอันตรายออกจากการเผยแพร่แล้ว GitHub ให้คำมั่นว่าจะเผยแพร่รายงานฉบับสมบูรณ์เมื่อการสืบสวนเสร็จสิ้น และให้คำมั่นว่าจะแจ้งลูกค้าผ่านช่องทางตอบสนองต่อเหตุการณ์ที่กำหนดไว้หากพบผลกระทบต่อลูกค้า

ปฏิกิริยาของอุตสาหกรรม

ชุมชนนักพัฒนาในวงกว้างตอบสนองอย่างรวดเร็ว CZ ผู้ก่อตั้ง Binance ได้ออกคำแนะนำโดยตรงต่อผู้ติดตาม "หากคุณมี API key ในโค้ดของคุณ แม้แต่ใน private repos ตอนนี้เป็นเวลาที่ต้องตรวจสอบซ้ำและเปลี่ยนมัน" เขาโพสต์ ขยายข่าวการละเมิดความปลอดภัยของ GitHub ไปยังนักพัฒนาหลายล้านคนทั่วโลก คำแนะนำนั้นไม่ใช่การป้องกันล่วงหน้า แต่เป็นเรื่องเร่งด่วน นักพัฒนามักเก็บ API key, authentication token และข้อมูลรับรองบริการไว้ใน private repositories โดยคิดว่าปลอดภัยจากการเปิดเผย

ภาพรวมที่ใหญ่กว่าสำหรับนักพัฒนา

ข่าวการละเมิดความปลอดภัยในระดับนี้จาก GitHub มีนัยยะที่เกินสัดส่วน เนื่องจาก GitHub เป็นเจ้าภาพพื้นที่เก็บข้อมูลกว่า 100 ล้านแห่งและทำหน้าที่เป็นโครงสร้างพื้นฐานโค้ดหลักสำหรับระบบนิเวศนักพัฒนาทั่วโลก ดังนั้น การละเมิดที่มุ่งเป้าไปที่พื้นที่เก็บข้อมูลภายใน แม้จะไม่มีการเปิดเผยข้อมูลลูกค้า ก็เผยให้เห็นพื้นที่โจมตีขนาดใหญ่ที่ภัยคุกคามห่วงโซ่อุปทานเป็นตัวแทน

สำหรับนักพัฒนา มีสามการดำเนินการเร่งด่วนที่สำคัญ ประการแรก เปลี่ยน API key ใดๆ ที่เก็บไว้ใน repositories ไม่ว่าจะเป็น private หรือ public ประการที่สอง ตรวจสอบรายการส่วนขยายใน VS Code และลบสิ่งที่ไม่ได้รับการยืนยันออก สุดท้าย เปิดใช้งาน repository secret scanning เพื่อตรวจจับข้อมูลรับรองที่เปิดเผยโดยอัตโนมัติ แม้ว่าการสืบสวนจะยังดำเนินต่อไป แต่ความโปร่งใสของ GitHub ตลอดมานั้นน่าสังเกต รายงานฉบับสมบูรณ์เมื่อเผยแพร่แล้ว จะเป็นสิ่งที่ทุกทีมรักษาความปลอดภัยในวงการเทคโนโลยีต้องอ่าน

The post GitHub Confirms Breach of 3,800 Repos via Poisoned VS Code Extension  appeared first on Coinfomania.