Mini Shai-Hulud供應鏈攻擊波及GitHub,近3800個內部儲存庫遭外洩
- 來源:iThome(ID: 494)
- URL:https://www.ithome.com.tw/news/176006
- 發布日期:2026-05-21
摘要
GitHub宣布其內部近3,800個原始碼儲存庫遭未授權存取,起因為員工裝置安裝了惡意VS Code擴充套件(Nx Console 18.95.0)。
攻擊鏈時間線
| 時間 | 事件 |
|---|---|
| 2026-05-11 | TeamPCP劫持TanStack自動化發布流程,6分鐘內發布42個套件的84個惡意版本 |
| 2026-05-19 | Nx Console貢獻者機器遭入侵,發布惡意Nx Console 18.95.0 |
| 2026-05-20 | GitHub公告內部儲存庫遭存取 |
攻擊路徑
TanStack惡意套件 → 開發者環境感染 → Nx Console貢獻者機器被入侵 → 觸發Nx Console自動發布惡意版本 → GitHub員工安裝 → 內部儲存庫外洩
Mini Shai-Hulud 蠕蟲竊取目標
- GitHub Token、AWS金鑰、SSH私鑰、Kubernetes設定、1Password CLI Session
惡意Nx Console 18.95.0影響範圍
- VS Code Marketplace上架18分鐘
- 市集記錄下載:69筆(但實際惡意啟動次數:6,000次,因VS Code自動更新)
TeamPCP歷次攻擊目標(2026年3月起)
Trivy、LiteLLM、Checkmarx KICS、SAP、TanStack;直接受害企業:OpenAI、Mistral AI、UiPath、GitHub
GitHub應變措施
- 隔離受影響裝置、移除惡意擴充套件版本、優先輪替高風險憑證
- 評估:影響僅限內部儲存庫,無用戶資料外洩證據
衍生頁面
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — 核心事件頁面
- software-supply-chain-attack — 更新供應鏈攻擊概念
- teampcp — 攻擊組織
- github — 受害組織