{"id":"2056970677668770117","account":"mubei","brand":"@mubei","title":"GitHub 内部 3800 个代码库，被人打包挂到了黑客论坛上。 这是一场堪称教科书级的供应链渗透。 黑客的入侵入口极…","summary":"GitHub 内部 3800 个代码库，被人打包挂到了黑客论坛上。 这是一场堪称教科书级的供应链渗透。 黑客的入侵入口极其黑色幽默。 GitHub 自己的一名内部员工，在电脑上安装了一个被下毒的 VS Code 插件。 这个恶意插件直接成了黑客的后门，让对方大摇大摆地摸进了 Gi…","body":"GitHub 内部 3800 个代码库，被人打包挂到了黑客论坛上。\n\n这是一场堪称教科书级的供应链渗透。\n黑客的入侵入口极其黑色幽默。\nGitHub 自己的一名内部员工，在电脑上安装了一个被下毒的 VS Code 插件。\n这个恶意插件直接成了黑客的后门，让对方大摇大摆地摸进了 GitHub 的内网服务器。\n\n整整 3800 个核心存储库，就这么被黑客组织 TeamPCP 洗劫一空。\n黑客甚至在社交平台上嘲讽，称 GitHub 拖延了几个小时才向公众通报。\nGitHub 官方随后确认了这次入侵，紧急下架了恶意插件，并开始全网轮换核心密钥。\n\n写代码的人，最终死在了自己天天使用的代码工具上。\nVS Code 作为全球最大的编辑器生态，里面躺着无数未经严格审核的第三方插件。\n以前安全人员都盯着防火墙和服务器漏洞，却忽视了开发人员自己电脑上的日常工具。\n\n这次事件彻底扯下了顶级大厂的安全神话。\n在现代软件供应链安全面前，最坚固的防线，往往是从一个最不起眼的日常插件开始崩溃的。","category":"科技","score":80,"percentile":95,"reason_tags":[],"translated_x_url":null,"translated_status_id":null,"published_at":"2026-05-20 09:19:10","created_at":"2026-05-20T07:30:00+02:00"}