GitHub 官方证实,有黑客通过在员工电脑植入恶意插件,窃取了其约 3,800 个内部代码库——这一事件引发加密行业高度关注,担忧存于代码中的 API 密钥安全风险进一步加剧。
币安(Binance)创始人赵长鹏(CZ)提醒开发者,务必彻查每一个项目中的隐蔽密钥并及时更换。他警告称,即便是私有仓库,如今也应视同已被攻破,风险随时存在。
公司披露的详情
GitHub 表示,此次安全漏洞发生的起因是一名员工安装了被植入恶意代码的 VS Code 扩展插件——这一插件是全球数百万开发者广泛使用的代码编辑器拓展。
事发后,公司立即隔离受感染设备,移除恶意插件,并连夜更换关键密码,优先轮换高风险凭证。
截至目前,调查显示黑客仅窃取了 GitHub 自有的内部代码库,尚未发现任何客户项目、组织或账户受到影响的证据。
GitHub 指出,攻击者宣称窃取了约 3,800 个仓库,这一数字与公司内部排查结果基本一致。待后续调查结束后,将发布更为详细的报告。
为何加密开发者高度警惕
在加密行业,只要 API 密钥泄露,数分钟内就可能导致交易账户资金被清空。许多密钥还可直接访问钱包、托管工具,或交易所自动化机器人。因此,CZ 迅速通过社交平台发出预警。
类似事件此前也曾发生。今年早些时候,云基础设施服务商 Vercel 遭遇安全泄露,导致相关团队不得不紧急轮换密钥。而 2022 年 3Commas 泄露事件曾暴露近 100,000 个用户密钥。
另一起独立的供应链攻击针对密码管理器 Bitwarden,窃取了加密钱包助记词及开发者令牌,并将被盗数据隐藏在 GitHub 仓库之中。
许多开发者习惯将私钥存放在代码、构建脚本或隐藏配置文件中,误以为外部无法访问。然而,GitHub 这次事件表明,即使是内部系统也可能像公开平台一样遭到攻破。
GitHub 称,其团队仍在持续分析日志记录。至于被盗的代码库中,是否包含与加密基础设施相关的代码或敏感凭证,预计未来数日将有更明确结论。
