GitHubの内部情報が流出、Visual Studio Codeの拡張機能経由で約3800のリポジトリに不正アクセスされる
GitHubは2026年5月20日、GitHubの従業員端末が「悪意のあるコードが仕込まれたVS Code拡張機能」によって侵害され、GitHub内部リポジトリのデータが外部に送信されたと発表しました。攻撃者側は約3800件のリポジトリにアクセスしたと主張しており、GitHubは「攻撃者側の主張はおおむね調査内容と一致している」と説明しています。
Investigating unauthorized access to GitHub-owned repositories - The GitHub Blog
https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/
1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.
— GitHub (@github) 2026年5月20日
Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…
GitHub confirms breach of 3,800 repos via malicious VSCode extension
https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/
リポジトリとはソースコードや設定ファイル、開発に使う関連データをまとめて管理する保管場所のこと。GitHub内部リポジトリは、GitHub自身が開発や運用のために使う社内向けのリポジトリを指します。GitHubによると、外部送信されたとみられるデータはGitHub内部リポジトリに限られており、GitHub利用者が所有する企業向けアカウント、組織、リポジトリなど、GitHub内部リポジトリの外に保存されている顧客情報に影響があった証拠は確認されていないとのこと。ただしGitHub内部リポジトリの一部にはサポート対応の抜粋など、顧客に関する情報が含まれる場合があるため、影響が判明した場合は通常のインシデント対応経路で顧客へ通知するとGitHubは述べています。
侵入経路になったのはMicrosoftのコードエディタ「Visual Studio Code(VS Code)」向けの拡張機能です。VS Code拡張機能はコード補完やフレームワーク支援、クラウド連携などの機能を追加するための仕組みで、開発者の作業環境に深く入り込む場合があります。便利な反面、悪意のあるコードが拡張機能に仕込まれると、開発端末上のトークン、SSHキー、クラウド認証情報、設定ファイルなどが狙われる危険があります。
GitHubは従業員端末の侵害を2026年5月18日に検知して封じ込めたと説明しています。GitHubは問題のある拡張機能のバージョンを削除し、侵害された端末を隔離し、インシデント対応を開始しました。さらにGitHubはサービス連携や認証に使う重要な秘密情報であるシークレットについて、影響の大きい認証情報を優先し、2026年5月18日から5月19日にかけてローテーションしたとのこと。
なお、GitHub公式ブログでは拡張機能名を本文中で明記していませんが「悪意のあるコードが仕込まれたVS Code拡張機能」としてNx Consoleの「Compromised Nx Console version 18.95.0」というセキュリティアドバイザリへのリンクが付与されています。Nx Consoleのアドバイザリによると、影響を受けたバージョンは18.95.0で、修正版は18.100.0。悪意のあるバージョンはVisual Studio Marketplaceで約18分、OpenVSXでは約36分公開されていたと説明されています。
Nx Consoleのアドバイザリでは悪意のある拡張機能がディスク上やメモリ上から認証情報を収集しようとしていたと説明されています。標的として挙げられているのは、GitHubトークン、npmトークン、AWS関連情報、HashiCorp Vault、Kubernetes、1Password、秘密鍵、接続文字列、DockerやGCPの認証情報など。収集されたデータはHTTPS、GitHub API、DNS経由で外部送信されたと説明されています。
BleepingComputerによると、攻撃者グループ「TeamPCP」がサイバー犯罪フォーラム「Breached」でGitHubのソースコードと「約4000件のプライベートコードリポジトリ」にアクセスしたと主張し、盗み出したデータを少なくとも5万ドル(約800万円)で売ろうとしていました。ただしGitHubは現時点で攻撃者の特定を公表しておらず、GitHubが攻撃者をTeamPCPと断定したわけではありません。
TeamPCPは開発者向けプラットフォームやオープンソースのパッケージ配布経路を狙うサプライチェーン攻撃との関連が報じられているグループです。サプライチェーン攻撃とは、最終的な標的を直接攻撃するのではなく、開発ツール、依存パッケージ、拡張機能、CI/CD設定など、開発や配布の途中にある信頼された仕組みを悪用する攻撃手法を指します。VS Code拡張機能は開発者が日常的に利用するため、攻撃者にとっては認証情報や内部コードへ到達する足がかりになりやすい経路とのこと。
GitHubはログ分析、シークレットローテーションの検証、追加の不審な活動の監視を継続しており、調査が完了し次第、より詳しい報告書を公開すると述べています。GitHubは「顧客への影響が見つかった場合は、既定のインシデント対応および通知経路で顧客に連絡する」と説明しています。
・関連記事
VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意あるコードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかになったという報告 - GIGAZINE
悪意のあるVSCode拡張機能を検出できる「VSCan」 - GIGAZINE
VSCodeの一部拡張機能にファイルを暗号化して身代金を要求する悪意のある機能が仕込まれていたことが明らかに - GIGAZINE
GitHubスター4万超えのAIライブラリ「LiteLLM」がサプライチェーン攻撃を受けマルウェア版が配布されてしまう、ユーザーのSSHキーやAPIキーが盗まれた可能性あり - GIGAZINE
10万回インストールされたChrome拡張機能の「FreeVPN」がこっそりユーザーの画面のスクリーンショットを撮り外部サーバーに送信していることが判明 - GIGAZINE
・関連コンテンツ
in ネットサービス, セキュリティ, Posted by log1d_ts
You can read the machine translated English article GitHub's internal information was le….