世界を動かす技術を、日本語で。

GitHubが悪意のあるVSCode拡張機能を通じて3,800のリポジトリへの侵害を確認

概要

  • GitHub の内部リポジトリ約3,800件が 不正アクセス 被害
  • VS Code拡張機能 がマルウェア化し、従業員端末を経由して侵入
  • 顧客データへの影響は 現時点で確認されていない
  • ハッカーグループ TeamPCP が情報窃取を主張し、5万ドル以上で販売を試み
  • VS Code拡張機能 のセキュリティリスクが再び注目

GitHub内部リポジトリ流出事件の概要

  • GitHub従業員 が悪意ある VS Code拡張機能 をインストールしたことによるインシデント
  • 拡張機能は VS Code Marketplace から削除済み、感染端末も隔離
  • GitHubによると、 流出対象は社内リポジトリのみ で、外部顧客データへの影響は未確認
  • 攻撃者は約 3,800リポジトリ の流出を主張、GitHubの調査結果とも一致
  • TeamPCP がサイバー犯罪フォーラムで「約4,000リポジトリ」の販売を掲示
    • 最低価格 5万ドル 以上での売却を希望
    • 販売できなければ無料公開も示唆

TeamPCPとサプライチェーン攻撃の経緯

  • TeamPCP は過去にもGitHubやPyPI、NPM、Dockerなど 開発者プラットフォーム への攻撃に関与
  • 「Mini Shai-Hulud」キャンペーンでは OpenAI従業員 も被害
  • サプライチェーン攻撃 による開発現場の脆弱性露呈

VS Code拡張機能のセキュリティリスク

  • VS Code拡張機能 は公式Marketplaceからインストール可能
  • 過去にも数百万インストール規模の マルウェア拡張機能 が発見・削除
    • 開発者認証情報や 機密データ の窃取事例
    • XMRig 仮想通貨マイナーやランサムウェア機能付き拡張も流通
    • 2024年1月には AIコーディング支援 を偽装した拡張が中国サーバーへデータ送信

GitHubの規模と影響範囲

  • GitHubは 4百万以上の組織 (Fortune 100の90%含む)、 1億8千万超の開発者 が利用
  • 4億2千万件超 のリポジトリを管理
  • サプライチェーン攻撃による 広範な波及リスク

セキュリティ検証と自動ペンテストツールの課題

  • 自動化ペンテストツールは「攻撃者がネットワークを移動できるか」のみ検証
  • 脅威ブロック、検知ルール、クラウド設定 など多面的な検証が必要
  • 実際のセキュリティギャップを把握するための 包括的バリデーション の重要性

まとめ

  • VS Code拡張機能 のインストール時は公式性や信頼性の確認が必須
  • サプライチェーン攻撃 への警戒と多層的なセキュリティ対策の強化が急務
  • GitHubのような 基盤サービス に対する攻撃は、開発エコシステム全体に影響

Hackerたちの意見

前のスレッド: GitHubが内部リポジトリへの不正アクセスを調査中 - https://news.ycombinator.com/item?id=48201316 - 2026年5月(321件のコメント)

どの拡張機能なの?教えてくれないの?

NX ConsoleのVS Code拡張が怪しいって噂があるね。 https://github.com/nrwl/nx-console/security/advisories/GHSA-... https://www.stepsecurity.io/blog/nx-console-vs-code-extensio...

数日前、Twig拡張機能のアップデートがあることに気づいたんだ。UIがアップデートバンドルに新しい実行可能コードが含まれているって警告してたから、インストールはしなかったし、その日はDrupalのビューを触ってなかったから拡張機能も無効にした。新しいアップデートの内容を調べる時間もなかったしね。再び拡張機能のページに戻ったら、もう削除されてた。リンクはここだよ: https://open-vsx.org/extension/whatwedo/twig 何があったかは言わないけど、whatwedo.twigだったかもしれないし、そうじゃないかもしれない。追記: Cursor / VS Code用の良いTwigフォーマッターのおすすめがあったら教えて!

でも、ダウンしなかったよ!進展だね!

それ、ジンクスにしないで!

うまく動いてるけど、何をしてるのかは分からないね。

デプロイする時間がない!法医学調査中は誰も動いちゃダメだ!

もしかして見落としてることがあるのかもしれないけど… 3,800個のリポジトリ?そんなに多いとは思わなかった!

GitHubみたいな組織にしては3800は少ないね。全てのリポジトリが侵害されてるわけじゃないってことがほぼ確実で良かった。

私には少なく感じる。数年前にフォーチュンの高い企業で働いてたけど、もっと多かったよ。

私がいた組織は15000以上のリポジトリがあった。

Hacker Newsで議論の続きを見る