微软旗下知名开发者平台GitHub证实遭到黑客攻击,攻击者从约3800个内部代码仓库中窃取了数据。
这家代码托管与共享巨头在X平台的系列帖子中表示,目前"没有证据显示存储在GitHub内部仓库之外的客户信息受到影响",但同时指出调查仍在进行中。GitHub表示,已"检测并遏制了一起涉及员工设备的安全事件,起因是一个被植入恶意代码的VS Code扩展",此处提及的是Visual Studio Code的一款插件——VS Code是开发者日常编程中广泛使用的代码编辑器。
黑客越来越频繁地将热门开源项目作为攻击目标,其中包括各类代码编辑扩展,目的是借此入侵开发者的计算机及其相关项目。攻击热门项目能让黑客同时获得大量计算机的访问权限,从而成倍放大攻击的危害范围。
GitHub未披露被攻陷的具体扩展名称。
据The Record和Bleeping Computer报道,一个名为TeamPCP的黑客组织已声称对此次GitHub数据泄露事件负责,并在一个网络犯罪论坛上出售所窃取的数据。
GitHub未立即回应有关此事件的置评请求,也未回答是否已收到黑客任何通信(例如赎金要求)等相关问题。
TeamPCP此前曾声称对欧盟委员会的一次数据泄露事件负责,该事件导致欧盟执行机构超过90GB的云存储数据遭到窃取。黑客是在早先入侵漏洞扫描工具Trivy期间窃取了欧盟委员会的云访问密钥,并通过向Trivy的下游用户推送信息窃取恶意软件实施攻击。
OpenAI近期也遭遇了一起类似但独立的攻击事件——黑客入侵了网页开发者常用平台TanStack,通过推送含有恶意代码的更新包,窃取了用户的密码和Token。
Q&A
Q1:GitHub这次数据泄露事件是怎么发生的?
A:此次攻击源于一个被植入恶意代码的VS Code扩展插件。黑客通过该扩展入侵了一名GitHub员工的设备,进而访问并窃取了约3800个内部代码仓库中的数据。GitHub表示已检测并遏制了此次入侵,目前尚无证据显示存储在内部仓库之外的客户信息受到影响,但调查仍在持续进行中。
Q2:TeamPCP是什么黑客组织?他们此前还做过哪些攻击?
A:TeamPCP是一个黑客组织,已公开声称对此次GitHub数据泄露事件负责,并在网络犯罪论坛上出售所盗数据。该组织此前还声称对欧盟委员会的数据泄露事件负责,当时通过入侵漏洞扫描工具Trivy,植入恶意软件并窃取了欧盟委员会的云访问密钥,最终盗取超过90GB的数据。
Q3:开发者应该如何防范VS Code扩展带来的安全风险?
A:文章指出,黑客越来越多地将热门开源项目和代码编辑扩展作为攻击入口,通过在插件中植入恶意代码来入侵开发者设备。开发者应谨慎安装来源不明的扩展插件,优先选择官方认证或广泛审查过的插件,并保持开发工具和扩展的及时更新,同时关注所使用工具的安全公告。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。