GitHub
全球最大程式碼託管平台(Microsoft旗下),提供Git版本控制、CI/CD、Issues等開發協作功能。
2026年5月 事件
-
內部儲存庫遭未授權存取,調查中,官方稱客戶資料暫未受影響
-
2026-05-21 更新:TeamPCP供應鏈攻擊(Mini Shai-Hulud蠕蟲)追加細節:TanStack惡意套件污染Nx Console貢獻者環境,進而透過惡意Nx Console 18.95.0 VS Code擴充套件感染GitHub員工,近3,800個內部儲存庫遭存取;蠕蟲竊取GitHub Token、AWS金鑰、SSH私鑰等憑證。
-
2026-05-21:iThome報導指出GitHub私下漏洞通報量在2026年Q1較2025年Q4增加超過4倍,CVE ID申請從~1,100件增至超過4,000件,被視為AI工具系統性滲透漏洞研究生態的關鍵指標
-
2026-05-24:GitHub官方部落格正式確認內部儲存庫遭駭根源為Nx Console v18.95.0供應鏈攻擊(TeamPCP組織),近3,800個內部儲存庫受影響,持續進行憑證輪換與監控
-
2026-05-24:TeamPCP以5萬美元底價公開競標GitHub內部儲存庫資料,宣稱竊得近4,000個內部儲存庫程式碼;若無人出價則直接公開
-
2026-05-25:OX Security 與 SafeDep 揭露代號 Megalodon 的大規模 GitHub Actions CI/CD 惡意攻擊(實際發生於2025年5月18日),6小時內影響5,561個公開儲存庫,5,718筆惡意提交,竊取CI機密、雲端憑證、SSH金鑰與原始碼
-
2026-05-28:GitHub 釋出 GHES 3.20.3,修補 CVE-2026-9312(前驗證 SSRF)等 2 個重大漏洞與 3 個高風險漏洞,並因應 5 月供應鏈事件更新所有 GHES 發行套件簽章金鑰;管理員須在安裝前手動輪換 GPG 公鑰
相關概念
- AI進入漏洞研究與通報生態Mozilla微軟GitHub與Curl案例 — GitHub漏洞通報量爆增案例
- GitHub內部儲存庫未授權存取事件2026 — 事件更新(2026-05-24官方確認供應鏈攻擊媒介)
- GitHub Enterprise Server 3.20.3修補多項重大漏洞 — 2026-05-28 GHES 3.20.3 安全更新
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — 供應鏈攻擊事件詳情
- Megalodon大規模GitHub CI-CD惡意攻擊事件 — 大規模CI/CD工作流程惡意注入事件(2025-05-18)
- 微軟內部禁用Claude Code改推GitHub Copilot工具整合與成本控制 — 微軟以工具整合為由推廣 GitHub Copilot CLI(2026-05-27)
相關文章
- ithome-2026-05-25-megalodon-github-cicd-attack-176093 — Megalodon事件報導