快科技 5 月 22 日消息，全球最大代码托管平台 GitHub 官方确认，一名员工安装了恶意 VS Code 扩展插件，导致约 3800 个内部源码仓库被窃取，黑客组织已公开叫卖，起价 5 万美元。

根据 GitHub 的说法，问题源于一名员工安装了被投毒的 VS Code 扩展，攻击者借此控制了该员工设备，进而访问了 GitHub 内部代码仓库。

发现异常后，GitHub 迅速下架了恶意插件版本、隔离受影响终端，并启动安全事件响应流程，GitHub 初步调查认为，攻击者声称窃取约 3800 个仓库的说法与官方掌握的信息基本一致。

随后名为 TeamPCP 的黑客组织发帖，声称获取了 GitHub 源代码及约 4000 个私有代码仓库，起售价 5 万美元。

从 TeamPCP 公布的目录和截图来看，被盗数据涉及 GitHub Copilot、GitHub Enterprise Server 等关键项目，以及 Red Team、安全风险报告、XSS 强化补丁等高度敏感功能库。

TeamPCP 并非无名之辈，此前已先后入侵 Trivy、Checkmarx KICS、LiteLLM 及 Mistral AI 等顶级开源项目和科技公司源码库。

一个 VS Code 插件为何能造成如此严重的后果，答案在于插件本身拥有极高权限——可以读取本地项目文件、扫描开发目录、获取环境变量、调用终端命令、访问 Git 凭据、与远程服务器通信。

而在大型科技公司里，一个员工的开发机往往连接着大量核心系统，攻击者甚至不需要正面突破公司服务器，只需 " 攻陷开发者 " 即可。

GitHub 已开始全面调查，承诺在收集完所有证据后发布完整安全报告。