GitHub：恶意VS Code扩展入侵约3800个内部代码仓库

GitHub于2026年5月20日披露了两天前发现的安全事件详情：一名身份不明的攻击者通过感染一名员工设备的第三方恶意VS Code扩展，访问了约3800个GitHub内部代码仓库。公司与外部取证人员共同开展调查，并强调没有证据显示GitHub平台上的用户数据遭到泄露。

攻击是如何成功的？

据GitHub公告，该扩展通过VS Code Marketplace（微软的扩展注册中心）发布，员工将其作为日常工作流工具安装。安装后，该扩展从设备上窃取了开发者凭据——可能是OAuth令牌、SSH密钥或缓存的Git凭据——使攻击者得以绕过员工VPN，对GitHub内部系统进行身份验证。

这一攻击向量属于软件供应链攻击，与近年来困扰npm、PyPI和RubyGems的模式如出一辙，只是将目标从运行时包管理器转移到了IDE扩展层面。微软VS Code Marketplace托管超过50000个扩展，其验证流程此前从未被视为核心防御屏障。

攻击者访问了什么内容？

攻击者在黑客论坛的帖子中声称访问了约3800个GitHub内部仓库，GitHub的调查认为这与自身发现的情况基本一致。部分内部仓库包含客户支持代码片段以及内部构建、基础设施和测试制品。生产用户库（用户代码、议题、拉取请求）未受影响。

GitHub立即隔离了涉事员工的终端，以生产密钥为优先启动了紧急凭据轮换，并对内部系统开启了针对可疑行为模式的持续监控。

对AI编程工具生态有何更广泛影响？

事件发生之际，AI编程代理（Claude Code、Copilot agent mode、Cursor、Windsurf）正在积极整合扩展和MCP服务器以扩展功能。每个已安装的扩展或MCP服务器都会成为一个可访问开发者凭据的新攻击向量。与IDE在同一进程中运行的工具链通常拥有与用户相同的权限。

GitHub宣布将在调查结束后发布完整的事后分析报告，并呼吁开发者社区对扩展发布者实施更严格的法律和技术标准，包括强制代码签名、运行时沙箱隔离和凭据访问显式权限——而这些机制目前在VS Code Marketplace均未被强制要求。