GitHub內部儲存庫未授權存取事件2026
GitHub 內部儲存庫遭未授權存取事件,2026年5月24日官方確認根源為 Nx Console 供應鏈攻擊。
事件時間軸
- 2026-05-18:GitHub 偵測到入侵行為
- 2026-05-20:GitHub 在 X 平台上公開承認內部儲存庫遭到未授權存取,正在積極調查
- 2026-05-21:Mini Shai-Hulud 攻擊鏈細節揭露(TanStack → Nx Console → GitHub)
- 2026-05-24:GitHub 官方部落格聲明確認攻擊媒介為 Nx Console v18.95.0 供應鏈攻擊
- 2026-05-24:TeamPCP 以 5 萬美元底價公開競標竊得資料,宣稱近 4,000 個內部儲存庫;若無人出價則直接公開
影響範圍
- 近 3,800 個內部儲存庫遭存取
- 內部儲存庫含有客戶資訊(含支援過程互動內容摘錄)
- 官方聲稱客戶的企業、組織與儲存庫暫未受影響
- 資料是否外流:GitHub 尚未正式確認
攻擊路徑(已確認)
TeamPCP → TanStack惡意套件 → Nx Console貢獻者機器被入侵
→ 惡意 Nx Console 18.95.0 發布 → GitHub 員工安裝 → 內部儲存庫外洩
應變措施
- 移除惡意擴充套件版本
- 隔離受影響端點
- 身分機密憑證輪換
- 基礎設施監控與記錄分析
來源文章
- ithome-2026-05-20-github-unauthorized-access-175954 — 初報
- ithome-2026-05-24-github-confirms-nx-console-supply-chain-176069 — 官方確認供應鏈攻擊媒介
- ithome-2026-05-24-teampcp-github-repos-sale-176070 — TeamPCP兜售儲存庫資料
- ithome-2026-05-25-security-daily-github-supply-chain-176094 — 資安日報整合(2026-05-25)
相關頁面
- github — GitHub 公司
- nx-console — 遭攻擊的 VS Code 延伸套件
- teampcp — 攻擊組織
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — 完整攻擊鏈
- Nx Console VS Code延伸套件供應鏈攻擊CVE-2026-48027竊資軟體植入 — Nx Console 攻擊細節