GitHub を確認 した 惡意 の VS Code 拡張 機能 侵入により、約 3800 個 の 内部リポジトリ が 盗まれた

GitHub は 5 月 20 日に X で安全事件の調査アップデートを公開し、VS Code 拡張に仕掛けられた悪意のあるプログラムを通じて、従業員の端末が侵害され、その結果、約 3,800 個の社内リポジトリが盗まれたことを確認しました。GitHub は、GitHub 内部のコードリポジトリ以外に保存されている顧客情報が影響を受けたことを示す証拠はないと述べています。GitHub は悪意のある拡張を削除し、影響を受けた端末を隔離し、重要な認証情報をローテーション（更新）しました。

GitHub が確認した安全事件の詳細

GitHub 公式の X 投稿に基づき確認します：

影響範囲：約 3,800 個の GitHub 社内リポジトリ（攻撃者が主張する件数は、GitHub の調査結果とほぼ一致）

根本原因：従業員の端末が侵害されたこと

攻撃経路：悪意のあるコードが埋め込まれた VS Code 拡張（開発者サプライチェーン攻撃）

顧客への影響：GitHub は「GitHub 内部のコードリポジトリに限定したデータ流出」であり、顧客データ、企業、組織、またはリポジトリに影響があったことを示す証拠は見つかっていないと確認しています

脅威行為者の確認状況

Dark Web Informer（脅威インテリジェンス機関）の開示によると、別名 TeamPCP の脅威行為者は、GitHub 公告の前から暗網上で、GitHub 内部のソースコードと組織データを販売する商品の情報を掲載していました。H2S Media の報道では、TeamPCP と Shai-Hulud 蠕蟲のマルウェアの背後にある組織は同一であり、このマルウェアは最近オープンソースのリポジトリで広範囲に感染を引き起こしているとのことです。

講じられた対応策

GitHub 公式声明に基づき確認します：

完了：悪意のある VS Code 拡張を削除し、影響を受けた端末を隔離し、影響が最も大きい重要な認証情報を優先的にローテーション（当日の発見時およびその夜に完了）

進行中：ログの分析、認証情報のローテーション状況の検証、今後の活動の監視、全体的なインシデント対応と調査

計画中：調査終了後に完全な報告書を公開する；より広範な影響が確認された場合は、既存のインシデント対応チャネルを通じて顧客へ通知します

GitHub の最近の安全事件が確認された背景

H2S Media の報道で確認された直近のタイムラインに基づく：

3 週間前：Wiz の研究者が CVE-2026-3854 を開示。深刻なリモートコード実行（RCE）脆弱性であり、認証済みの任意のユーザーが git push コマンド 1 つで GitHub のバックエンドサーバー上で任意のコマンドを実行できるようになる

先週：SailPoint の GitHub リポジトリが、第三者アプリケーションの脆弱性により侵害された

2026 年 5 月 17 日：Grafana Labs が、GitHub トークンが漏洩したことを確認。脅威行為者がリポジトリへのアクセス権を得て、恐喝を試みた

よくある質問

今回の侵害は GitHub の公開リポジトリ、またはユーザーのリポジトリに影響しましたか？

GitHub 公式声明によると、データ流出は「GitHub 内部リポジトリに厳密に限定」されており、現時点で顧客データ、企業、組織、またはリポジトリに影響があったことを示す証拠はありません。顧客向けのシステムは影響を受けていません。

この攻撃の入口は何で、どのように防げますか？

GitHub が確認したところによれば、攻撃経路は悪意のあるコードが埋め込まれた VS Code 拡張で、開発者サプライチェーン攻撃に該当します。Binance の創業者 CZ は次のように助言しています：「プライベートリポジトリ内の API キーは直ちに点検し、交換してください。」

GitHub はいつ完全な事件報告書を公開しますか？

GitHub 公式声明によると、完全な報告書は調査終了後に公開されますが、具体的な時期はまだ発表されていません。