Mini Shai-Hulud供應鏈攻擊波及GitHub,近3800個內部儲存庫遭外洩

摘要

GitHub宣布其內部近3,800個原始碼儲存庫遭未授權存取,起因為員工裝置安裝了惡意VS Code擴充套件(Nx Console 18.95.0)。

攻擊鏈時間線

時間事件
2026-05-11TeamPCP劫持TanStack自動化發布流程,6分鐘內發布42個套件的84個惡意版本
2026-05-19Nx Console貢獻者機器遭入侵,發布惡意Nx Console 18.95.0
2026-05-20GitHub公告內部儲存庫遭存取

攻擊路徑

TanStack惡意套件 → 開發者環境感染 → Nx Console貢獻者機器被入侵 → 觸發Nx Console自動發布惡意版本 → GitHub員工安裝 → 內部儲存庫外洩

Mini Shai-Hulud 蠕蟲竊取目標

  • GitHub Token、AWS金鑰、SSH私鑰、Kubernetes設定、1Password CLI Session

惡意Nx Console 18.95.0影響範圍

  • VS Code Marketplace上架18分鐘
  • 市集記錄下載:69筆(但實際惡意啟動次數:6,000次,因VS Code自動更新)

TeamPCP歷次攻擊目標(2026年3月起)

Trivy、LiteLLM、Checkmarx KICS、SAP、TanStack;直接受害企業:OpenAI、Mistral AI、UiPath、GitHub

GitHub應變措施

  • 隔離受影響裝置、移除惡意擴充套件版本、優先輪替高風險憑證
  • 評估:影響僅限內部儲存庫,無用戶資料外洩證據

衍生頁面