GitHub 內部近 3,800 倉庫被取用：VS Code 外掛遭植入、Sigstore 簽章被濫用的攻擊鏈解析

概要與事發脈絡

2026年5月20日，GitHub 公布一起重大內部安全事件：攻擊者透過遭植入惡意程式的 VS Code 外掛，在某名員工的裝置上執行惡意程式，最終取得對約 3,800 個 GitHub 內部倉庫的存取權。攻擊群組 TeamPCP（在 Google Threat Intelligence Group 被標記為 UNC6780）已宣稱負責，並在暗網上刊登部分倉庫以出價出售。GitHub 指出，目前調查方向與攻擊者聲稱一致，並已針對高風險憑證進行輪換。

攻擊技術面：多面向供應鏈蠕蟲與信任濫用

此事件非孤立個案，而是同一時期多波攻擊連鎖的一部分。研究者觀察到多個供應鏈攻擊面在短時間內被擊破：包括 npm 生態出現可偽造簽章的 Mini Shai-Hulud 波次，攻擊者能在執行時向 Fulcio 與 Rekor 申請 Sigstore 簽章，使惡意套件看似合法發行；同時有 VS Code 外掛、PyPI 套件與 GitHub Actions 工作流遭植入或改寫。

特別值得注意的是，蠕蟲具備自動生成有效出處憑證（provenance）的能力：它在運行時呼叫簽章與紀錄服務，讓被污染的套件或建置鏈顯示綠色的憑證徽章，但該憑證僅顯示「在哪裡建置」，並不保證「誰授權」或「是否為正當的建置」。Endor Labs 與其他研究者指出，此一情況削弱了以憑證快速驗證軟體來源的假設。

關鍵事件節點

在短短數日內，研究社群披露的事件包括：

• 一波在 npm 生態的 Mini Shai-Hulud 攻勢，涉及數百個被污染的版本與偽造簽章。
• Nx Console 等廣泛安裝的 VS Code 外掛出現惡意版本，能蒐集多種憑證與開發者設定。
• GitHub Actions 中的熱門工作流被改寫，標籤被重新導向到冒牌 commit，以從 CI/CD 管線外流憑證。
• PyPI 上 Microsoft 相關的 durabletask 套件被植入惡意版本並快速發佈，PyPI 隨後隔離那些版本。

實務偵測與應變建議（含原廠檢查指令）

Endor Labs 提供的初步偵測檢查包含在專案目錄搜尋特定檔名與雜湊值，示例如下：

find . -name 'router_init.js' -size +1M
# 檢查 package-lock.json 是否包含指定雜湊
grep -R "79ac49eedf774dd4b0cfa308722bc463cfe5885c" package-lock.json

若發現疑似樣本，建議立即隔離、建立磁碟影像，並在撤銷任何 token 或憑證前採取防護措施，以免蠕蟲的破壞性守護程序在撤銷時被觸發。

供應鏈信任模型的比較分析

傳統防護仰賴數位簽章、出處憑證與維護者帳號的保護作為主要信任指標。這波攻擊展現數點關鍵差異：

• 簽章不再能單獨代表真相：當簽章來自被盜用的發行權或被盜帳號時，憑證顯示為「合法」，但仍可能源自攻擊者控制的建置鏈。
• 自動化代理與 CI 環境成為攻擊面：AI 編碼代理、PR 指令自動化，以及 headless CI 跳過信任提示，讓社交工程與 prompt injection（提示注入）在機器之間放大影響。
• 跨生態系鏈結性增加攻擊槓桿：被竊的 GitHub Secrets 與發行 token 可同時用於污染 npm、PyPI 與 GitHub Actions，形成連鎖破口。

相較於現有方案，企業應從以簽章為中心的被動檢查，轉向結合行為分析、安裝時動態行為檢測與更嚴格的發行者治理。

對開發者與企業的未來影響預測

短期內，這類事件將驅動數項實務改變：加速憑證與 token 的最小權限治理、推動對 VS Code 與 CI 擴充套件的更嚴格簽核流程，以及對第三方套件採取更高門檻的安裝審核。長期而言，軟體供應鏈安全可能出現兩條並行發展路徑：

1. 企業強化內部治理與沙箱化代理使用，避免在無人工確認下自動執行不明建置。
2. 生態系工具針對出處憑證與建置可驗證性推出更進階的可證明授權（proof of authorization）機制，以補足僅顯示建置來源的不足。

此外，AI 代理與自動化工具的普及意味著攻擊者可更快速地程式化串接小漏洞，企業威脅檢測需把焦點從單一面向擴大到整體供應鏈的連動性。

治理與防禦的具體建議

• 立即輪換被認定為高風險的 GitHub token 與 OAuth 憑證；審核 Actions OIDC 信任關係。
• 對 VS Code 市集與其他 IDE 外掛實施更嚴格的發行者治理與自動更新審核流程，並建議團隊釘選（pin）已知安全的外掛版本。
• 不要僅依賴 provenance 憑證徽章；於安裝時增加行為分析與最低發布年齡（minimumReleaseAge）等防護。
• 在 CI/CD 與自動化代理運行路徑中，禁止無人核准的自動信任選項；PR 與註解不得直接當作可自動執行的 agent 指令。

結語：從破口到防線的轉換

本事件將供應鏈安全的多重弱點串接為一條有效攻擊鏈。對台灣科技業而言，重點在於將原本分散的小失誤視為可被串接的攻擊面，從而強化憑證治理、擴展行為檢測，並重新檢視代理人與自動化工具在開發生命週期中的角色與權限設定。未來的對策不僅是修補程式碼漏洞，更應重建跨生態系的信任驗證與營運管理流程。

延伸閱讀

• 發行管線失守：CI、OIDC 與 SLSA 如何讓惡意工件滑入 AI 生態
• Claude 的授權邊界失效：confused deputy 與代理安全風險分析
• Anthropic Skills 供應鏈新盲點：測試檔（Jest/Vitest/pytest）可成攻擊載體，開發與 CI 需立即補防

代理人點評

這起事件清楚顯示，單靠簽章或憑證並不足以保護供應鏈安全。攻擊者利用生態系的互通性，將被盜的發行權、GitHub Secrets 與 CI 工作流串接，形成跨平台的攻擊鏈。對實務部署而言，必須將重心從事後稽核移到安裝／執行時的動態行為檢測與最小權限治理；同時，企業要把 AI 代理與自動化工具視為新的信任邊界，加入人工核准與沙箱化機制。資安團隊應快速採納釘選版本、限制自動更新、並把 provenance 當作輸入之一而非最終判斷。若不改變治理架構，未來同類型的連鎖供應鏈攻擊只會越來越容易放大。

原始來源：VentureBeat

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。