GitHub

全球最大程式碼託管平台(Microsoft旗下),提供Git版本控制、CI/CD、Issues等開發協作功能。

2026年5月 事件

  • 內部儲存庫遭未授權存取,調查中,官方稱客戶資料暫未受影響

  • 2026-05-21 更新:TeamPCP供應鏈攻擊(Mini Shai-Hulud蠕蟲)追加細節:TanStack惡意套件污染Nx Console貢獻者環境,進而透過惡意Nx Console 18.95.0 VS Code擴充套件感染GitHub員工,近3,800個內部儲存庫遭存取;蠕蟲竊取GitHub Token、AWS金鑰、SSH私鑰等憑證。

  • 2026-05-21:iThome報導指出GitHub私下漏洞通報量在2026年Q1較2025年Q4增加超過4倍,CVE ID申請從~1,100件增至超過4,000件,被視為AI工具系統性滲透漏洞研究生態的關鍵指標

  • 2026-05-24:GitHub官方部落格正式確認內部儲存庫遭駭根源為Nx Console v18.95.0供應鏈攻擊(TeamPCP組織),近3,800個內部儲存庫受影響,持續進行憑證輪換與監控

  • 2026-05-24:TeamPCP以5萬美元底價公開競標GitHub內部儲存庫資料,宣稱竊得近4,000個內部儲存庫程式碼;若無人出價則直接公開

  • 2026-05-25:OX Security 與 SafeDep 揭露代號 Megalodon 的大規模 GitHub Actions CI/CD 惡意攻擊(實際發生於2025年5月18日),6小時內影響5,561個公開儲存庫,5,718筆惡意提交,竊取CI機密、雲端憑證、SSH金鑰與原始碼

  • 2026-05-28:GitHub 釋出 GHES 3.20.3,修補 CVE-2026-9312(前驗證 SSRF)等 2 個重大漏洞與 3 個高風險漏洞,並因應 5 月供應鏈事件更新所有 GHES 發行套件簽章金鑰;管理員須在安裝前手動輪換 GPG 公鑰

相關概念

相關文章