科技·via @mubei·80.0 分·P95
GitHub 内部 3800 个代码库,被人打包挂到了黑客论坛上。 这是一场堪称教科书级的供应链渗透。 黑客的入侵入口极…
GitHub 内部 3800 个代码库,被人打包挂到了黑客论坛上。
这是一场堪称教科书级的供应链渗透。 黑客的入侵入口极其黑色幽默。 GitHub 自己的一名内部员工,在电脑上安装了一个被下毒的 VS Code 插件。 这个恶意插件直接成了黑客的后门,让对方大摇大摆地摸进了 GitHub 的内网服务器。
整整 3800 个核心存储库,就这么被黑客组织 TeamPCP 洗劫一空。 黑客甚至在社交平台上嘲讽,称 GitHub 拖延了几个小时才向公众通报。 GitHub 官方随后确认了这次入侵,紧急下架了恶意插件,并开始全网轮换核心密钥。
写代码的人,最终死在了自己天天使用的代码工具上。 VS Code 作为全球最大的编辑器生态,里面躺着无数未经严格审核的第三方插件。 以前安全人员都盯着防火墙和服务器漏洞,却忽视了开发人员自己电脑上的日常工具。
这次事件彻底扯下了顶级大厂的安全神话。 在现代软件供应链安全面前,最坚固的防线,往往是从一个最不起眼的日常插件开始崩溃的。