GitHub เผยแพร่การอัปเดตการสอบสวนเหตุการณ์ความปลอดภัยบน X เมื่อวันที่ 20 พฤษภาคม โดยยืนยันว่าอุปกรณ์ของพนักงานถูกบุกรุกผ่านส่วนขยาย VS Code ที่ฝังโค้ดอันตราย ส่งผลให้มีการขโมยข้อมูลจากคลังภายในราว 3,800 แห่ง GitHub ระบุว่าไม่มีหลักฐานว่าข้อมูลลูกค้าที่เก็บอยู่นอกคลังโค้ดภายในของ GitHub ได้รับผลกระทบ GitHub ได้ลบส่วนขยายที่เป็นอันตราย แยกอุปกรณ์ปลายทางที่ได้รับผลกระทบ และหมุนเวียนข้อมูลประจำตัวสำคัญ (credential) ที่เกี่ยวข้อง
รายละเอียดเหตุการณ์ความปลอดภัยที่ GitHub ยืนยัน
ตามที่ยืนยันในโพสต์บน X อย่างเป็นทางการของ GitHub:
ขอบเขตที่ได้รับผลกระทบ:ประมาณ 3,800 คลังกิตภายในของ GitHub (ผู้โจมตีอ้างตัวเลขใกล้เคียงผลการสืบสวนของ GitHub)
สาเหตุรากเหง้า:อุปกรณ์ของพนักงานถูกบุกรุก
ช่องทางการโจมตี:ส่วนขยาย VS Code ที่ถูกฝังโค้ดอันตราย (การโจมตีห่วงโซ่อุปทานของนักพัฒนา)
ผลกระทบต่อผู้ใช้งาน/ลูกค้า:GitHub ยืนยันว่า “การรั่วไหลถูกจำกัดอย่างเคร่งครัดไว้ที่ข้อมูลภายในคลังโค้ดของ GitHub” และไม่พบหลักฐานว่ากระทบข้อมูลลูกค้า องค์กรหรือคลังกิตของผู้ใช้งาน/บริษัท/องค์กรใด ๆ
การยืนยันสถานการณ์ของผู้กระทำการ
ตามที่ Dark Web Informer (หน่วยงานข่าวกรองภัยคุกคาม) เปิดเผย:ผู้กระทำการที่ใช้ชื่อแฝง TeamPCP ได้เผยแพร่ข้อมูลสินค้าที่เกี่ยวกับการขายซอร์สโค้ดภายในของ GitHub และข้อมูลขององค์กรบนดาร์กเว็บมาก่อนการประกาศของ GitHub แล้ว H2S Media รายงานยืนยันว่าองค์กรที่อยู่เบื้องหลังมัลแวร์หนอน Shai-Hulud และ TeamPCP เป็นกลุ่มเดียวกัน โดยมัลแวร์ดังกล่าวเพิ่งสร้างการติดเชื้อในวงกว้างในไลบรารีโอเพนซอร์ส
มาตรการตอบสนองที่ดำเนินการแล้ว
ตามที่ยืนยันในคำแถลงอย่างเป็นทางการของ GitHub:
ดำเนินการแล้ว:ลบส่วนขยาย VS Code ที่เป็นอันตราย แยกอุปกรณ์ปลายทางที่ได้รับผลกระทบ และให้ความสำคัญกับการหมุนเวียนข้อมูลประจำตัวสำคัญที่ได้รับผลกระทบมากที่สุด (เสร็จสิ้นในวันเดียวกับที่พบเหตุการณ์และตลอดคืน)
กำลังดำเนินการ:วิเคราะห์บันทึก ตรวจสอบสถานะการหมุนเวียนข้อมูลประจำตัว เฝ้าติดตามกิจกรรมที่ตามมา และทำการสืบสวนตอบสนองต่อเหตุการณ์อย่างครอบคลุม
วางแผนไว้:หลังการสอบสวนสิ้นสุดจะเผยแพรรายงานฉบับเต็ม หากพบผลกระทบในวงกว้างมากขึ้น จะมีการแจ้งลูกค้าผ่านช่องทางการตอบสนองต่อเหตุการณ์ที่มีอยู่
ข้อมูลพื้นหลังการยืนยันเหตุการณ์ความปลอดภัยของ GitHub ในช่วงนี้
ตามไทม์ไลน์ล่าสุดที่ H2S Media รายงานยืนยัน:
สามสัปดาห์ก่อน:นักวิจัยของ Wiz เปิดเผย CVE-2026-3854 ซึ่งเป็นช่องโหว่การรันโค้ดจากระยะไกลที่รุนแรง (RCE) ที่ทำให้ผู้ใช้ที่ผ่านการยืนยันแล้วสามารถสั่งให้เซิร์ฟเวอร์แบ็กเอนด์ของ GitHub รันคำสั่งใด ๆ ได้ผ่านคำสั่ง git push เพียงคำสั่งเดียว
สัปดาห์ที่แล้ว:คลังกิตของ SailPoint บน GitHub ถูกบุกรุกจากช่องโหว่ของแอปพลิเคชันบุคคลที่สาม
17 พฤษภาคม 2026:Grafana Labs ยืนยันว่าโทเค็นของ GitHub ถูกขโมย ทำให้ผู้กระทำการได้รับสิทธิ์เข้าถึงคลังและพยายามรีดไถ
คำถามที่พบบ่อย
การบุกรุกครั้งนี้ส่งผลกระทบต่อคลังสาธารณะของ GitHub หรือคลังของผู้ใช้งานหรือไม่?
ตามคำแถลงอย่างเป็นทางการของ GitHub การรั่วไหลของข้อมูล “ถูกจำกัดอย่างเคร่งครัดไว้ที่คลังภายในของ GitHub” และขณะนี้ยังไม่มีหลักฐานว่าข้อมูลลูกค้า บริษัท องค์กร หรือคลังใดได้รับผลกระทบ ระบบที่มุ่งสู่ลูกค้าไม่ได้รับผลกระทบ
จุดเริ่มต้นของการโจมตีครั้งนี้คืออะไร และควรป้องกันอย่างไร?
ตามที่ GitHub ยืนยัน ช่องทางการโจมตีคือส่วนขยาย VS Code ที่ถูกฝังโค้ดอันตราย ซึ่งเข้าข่ายการโจมตีห่วงโซ่อุปทานของนักพัฒนา ผู้ก่อตั้ง Binance อย่าง CZ แนะนำว่า “ควรตรวจสอบและเปลี่ยนคีย์ API ในคลังแบบส่วนตัวทันที”
GitHub จะเผยแพรรายงานเหตุการณ์ฉบับเต็มเมื่อใด?
ตามคำแถลงอย่างเป็นทางการของ GitHub รายงานฉบับเต็มจะเผยแพร่หลังการสอบสวนเสร็จสิ้น แต่ยังไม่ได้ประกาศเวลาที่ชัดเจน
