GitHub遭駭：3,800個內部倉庫失守，你的程式碼安全嗎？

攻擊者沒有正面突破GitHub的防線——他們從開發者每天信任的工具下手。

2026年5月，全球最大程式碼託管平台GitHub（隸屬Microsoft）正式確認遭到入侵，約3,800個內部程式碼倉庫的資料遭竊。GitHub在X平台發文表示，「目前沒有證據顯示儲存於內部倉庫以外的客戶資訊受到影響」，但調查仍在進行中。這起事件的核心，不在於某個系統漏洞被利用，而在於攻擊者選擇了一條更隱蔽的路徑：一個被污染的Visual Studio Code（VSCode）擴充套件。

攻擊鏈：從一個外掛到3,800個倉庫

根據GitHub的說明，攻擊者首先透過一個惡意的VSCode擴充套件入侵了某名員工的裝置，進而取得存取內部系統的權限。GitHub未公開受害擴充套件的名稱，但資安媒體The Record與Bleeping Computer指出，駭客組織「TeamPCP」已宣稱對此次入侵負責，並在地下論壇上出售竊得的資料。

TeamPCP並非新面孔。這個組織此前曾入侵開源漏洞掃描工具Trivy，在其下游用戶中植入竊密惡意程式，最終從歐盟執行委員會的雲端儲存中竊取了超過90GB的資料。此外，OpenAI近期也遭遇類似手法的攻擊——駭客入侵網頁開發平台Tanstack，透過惡意更新竊取用戶的密碼與存取金鑰。

這一系列事件揭示了一個清晰的攻擊模式：供應鏈攻擊。攻擊者不直接衝擊目標，而是污染目標所依賴的工具、套件或平台，以更低的成本換取更大規模的滲透效果。

為什麼這對華人科技圈格外值得關注

廣告

廣告合作

[email protected]

廣告

GitHub是全球開發者生態的基礎設施，台灣、香港、新加坡以及中國大陸的科技公司幾乎無一例外地依賴它進行程式碼管理與協作。台灣的半導體設計公司、新創軟體團隊，香港的金融科技業者，東南亞的科技獨角獸——這些企業的工程師每天都在使用VSCode與GitHub。

值得注意的是，中國大陸的情況略有不同。由於監管環境，部分大型科技企業（如阿里巴巴、騰訊、字節跳動）在內部建立了自有的程式碼託管系統，對GitHub的直接依賴相對較低。然而，這並不意味著免疫——這些平台同樣依賴大量開源套件與工具，供應鏈污染的風險同樣存在。

更深層的問題在於：當一個平台同時承載著全球數億開發者的程式碼，它的安全性就不再只是企業的商業問題，而是數位基礎設施的公共議題。這次事件是否會加速各國政府對關鍵開發工具的監管討論？在地緣政治緊張的背景下，「程式碼主權」的概念是否會獲得更多重視？

各方如何看待這起事件

對GitHub與Microsoft而言，最棘手的不是技術修復，而是信任修復。GitHub目前儲存了超過3億個公開與私有倉庫，許多企業的核心智慧財產就在其中。即便此次外洩的是「內部」倉庫而非客戶倉庫，這個區別在用戶眼中未必足夠reassuring。

資安研究社群則普遍認為，這是一個「早該發生的警告」。VSCode擴充套件市集目前有超過6萬個擴充套件，審核機制相對寬鬆。開源生態的安全問題長期被低估，而攻擊者顯然比防禦方更早意識到這個缺口的價值。

對於企業IT主管而言，這起事件提出了一個實際問題：你的開發環境中，有多少個第三方工具是在未經充分審查的情況下被引入的？