# 策展 · X (Twitter) 🔥🔥🔥🔥🔥

> 📖 本站完整內容索引（documentation index）：[llms.txt](/llms.txt)

> 作者：GitHub (@github) · 平台：X (Twitter) · 日期：2026-05-21

> 原始來源：https://x.com/github/status/2056884788179726685

## 中文摘要

GitHub 遭駭客入侵導致內部專案外洩。

**事件背景與影響範圍**
GitHub 於 2026 年 5 月 20 日證實，正針對一起未經授權存取內部專案的事件進行調查。駭客組織「TeamPCP」聲稱已竊取 GitHub 的原始程式碼及內部組織資料，並在網路犯罪論壇上以不低於 5 萬美元的價格兜售約 4,000 個專案。GitHub 目前評估，遭竊資料僅限於其內部專案，尚未發現客戶儲存在 GitHub 外部的企業、組織或專案受到影響。作為風險緩解措施，GitHub 已輪替關鍵憑證，並優先處理高影響力的存取權限。

**攻擊途徑與技術細節**
根據 GitHub 的後續更新，此次入侵源於一名員工的裝置遭到感染，該裝置安裝了含有惡意程式碼的「Microsoft Visual Studio Code」擴充功能。雖然 GitHub 未公開該擴充功能的名稱，但此手法與近期「Nx Console」遭入侵、導致駭客植入多階段憑證竊取工具的事件相似。駭客組織 TeamPCP 透過此類供應鏈攻擊，成功存取內部環境並進行資料外洩。

**惡意軟體「Mini Shai-Hulud」的擴散**
TeamPCP 的攻擊行動不僅止於 GitHub，其自傳播惡意軟體「Mini Shai-Hulud」正透過污染開源套件持續擴張。近期受害的案例包括微軟官方的 Python 客戶端套件 `durabletask`（版本 1.4.1、1.4.2 及 1.4.3）。根據 Google 旗下的 Wiz 分析，攻擊流程如下：
1. 駭客透過先前的攻擊取得 GitHub 帳號權限。
2. 從該使用者可存取的專案中傾印（dump）GitHub 憑證。
3. 利用取得的憑證存取 PyPI token，進而直接發布惡意套件。

該惡意軟體具備高度自動化的攻擊能力，專門針對 Linux 系統設計，其功能包括：
- 竊取雲端供應商憑證、密碼管理器（1Password、Bitwarden）、SSH 金鑰、Docker 憑證及 Shell 歷史紀錄。
- 若偵測到 AWS 環境，會利用 SSM 向其他 EC2 執行個體傳播；若在 Kubernetes 環境，則透過 `kubectl exec` 進行擴散。
- 具備自我毀滅機制：若偵測到伊朗或以色列的系統設定，有 1/6 的機率會播放音訊並執行 `rm -rf /*` 指令。
- 採用「FIRESCALE」機制，透過搜尋 GitHub 公開提交訊息中的特定 Base64 格式字串，動態獲取備援的命令與控制（C2）伺服器位址。

**後續發展與風險警告**
根據 Endor Labs 研究員 Peyton Kennedy 指出，受污染的 `durabletask` 套件每月下載量約 41.7 萬次，且惡意程式碼會在套件匯入時自動執行，過程中無任何錯誤訊息或異常徵兆。此外，最新消息顯示駭客組織「LAPSUS$」已與 TeamPCP 聯手，將 GitHub 專案的兜售價格提高至 9.5 萬美元。據安全研究員 Rakesh Krishnan 分析，外洩內容涵蓋 GitHub Actions、Agentic 程式開發工作流、Copilot 內部專案、CodeQL 工具、Codespaces 及 Dependabot 等核心基礎設施。安全專家警告，任何安裝過受影響套件版本的機器或開發管線，均應視為已完全遭駭。

## 標籤

資安, GitHub