GitHub的源代码数据集包括4,000个存储库

来源：独眼情报

一、事件简介

2026 年 5 月，威胁行为体 TeamPCP 在 BreachForums 发布题为 「Internal Github Source Code」 的售卖帖，声称出售 GitHub 的源代码与内部组织相关数据。该帖声称数据规模约为 4,000 个私有代码仓库，并附带仓库清单、两个文件样本以及若干「mono repository」相关参考截图。帖文同时表示该出售不是勒索，要求买家报价不低于 5 万美元，并称会将数据出售给单一买家。

GitHub 随后公开表示，正在调查其内部仓库遭未授权访问一事。GitHub 当前口径是：目前没有证据显示客户信息在 GitHub 内部仓库之外受到影响，例如客户企业、组织和仓库；如发现客户受到影响，GitHub 将通过既定事件响应和通知渠道告知客户。

GitHub 的后续公开更新还提到，公司检测并遏制了一台员工设备受损，事件涉及一款被投毒的 Microsoft Visual Studio Code 扩展；GitHub 已轮换关键 secrets，并优先处理影响最高的凭据。GitHub 当前评估称，活动仅涉及 GitHub 内部仓库外泄，攻击者当前声称约 3,800 个仓库的说法与 GitHub 调查「方向上相符」。

需要注意，TeamPCP 售卖帖中的数字是「约 4,000 个私有代码仓库」，GitHub 公开回应中提到的攻击者当前说法是「约 3,800 个仓库」。两者不完全一致，但都指向同一数量级。本文分别保留两个来源的原始口径，不将二者强行合并为一个确定数字。

二、GitHub 的公开回应

GitHub 的公开回应把事件定性为「内部仓库未授权访问」。The Hacker News 报道引用 GitHub 表述称，GitHub 正在调查内部仓库遭未授权访问，同时目前没有证据显示客户信息在 GitHub 内部仓库之外受到影响。该回应还列举了不在当前影响证据范围内的客户资产类型，包括客户企业、组织和仓库。

BleepingComputer 报道中，GitHub 对其表示正在调查内部仓库未授权访问；GitHub 同时称，如发现任何客户影响，将通过既定通知和事件响应渠道告知客户。

后续更新中，GitHub 把事件入口描述为员工设备受损，且与一款被投毒的 Microsoft Visual Studio Code 扩展有关。GitHub 还称已经完成或启动关键 secrets 轮换，并按影响优先级处理高风险凭据。

在数据规模与影响范围上，GitHub 当前评估是「仅 GitHub 内部仓库外泄」。GitHub 还表示，攻击者当前声称的约 3,800 个仓库与其调查结果方向一致。这里的表述很重要：GitHub 并没有公开确认 TeamPCP 售卖帖中的每一项内容真实，也没有公开列出受影响仓库清单，而是确认其调查结果与攻击者关于仓库数量的说法在方向上相符。

三、事件经过还原

基于目前材料，可以把事件经过分成三个阶段。

1. 售卖信息公开

第一阶段是 TeamPCP 在 BreachForums 公开售卖。售卖帖将标的描述为 GitHub 源代码和内部组织相关数据，声称包含约 4,000 个私有代码仓库，并附带仓库列表、两个文件样本和若干参考截图。该帖的主要目的不是公布技术细节，而是吸引买家报价。

从交易语言看，帖文采用的是「单一买家、最低报价、样本验证」的地下数据交易模式，而不是传统勒索软件团伙常见的「向受害者施压付款」模式。这里仍然只描述帖文内容，不判断攻击者是否真的会只卖给一个买家，也不判断其是否真的会销毁数据。

2. GitHub 确认调查

第二阶段是 GitHub 对外确认调查。GitHub 未把事件描述为客户仓库被拖库，而是限定为 GitHub 内部仓库遭未授权访问。GitHub 当前没有发现客户信息在 GitHub 内部仓库之外受到影响的证据，并表示正在监控基础设施是否存在后续活动。

这一区分是整个事件的关键边界。当前公开材料支持的说法是：GitHub 内部仓库发生未授权访问和外泄调查；当前公开材料不支持的说法是：所有 GitHub 用户的私有仓库被访问，或 GitHub 客户企业、组织、仓库已被外泄。

3. GitHub 补充入口与处置动作

第三阶段是 GitHub 补充说明员工设备和 VS Code 扩展相关线索。GitHub 表示检测并遏制了一台员工设备受损，涉及被投毒的 Microsoft Visual Studio Code 扩展。GitHub 同时称，已经轮换关键 secrets，并优先处理影响最高的凭据。

到目前为止，GitHub 公开信息没有点名具体是哪一款 VS Code 扩展(推测可能是Nx Console 插件投毒)，也没有公开说明攻击者如何从受损设备访问到具体内部仓库。

四、影响边界

截至目前，公开信息支持的影响边界包括三点。

第一，影响对象是 GitHub 内部仓库。GitHub 当前评估称，活动涉及 GitHub 内部仓库外泄。

第二，客户侧影响尚未被发现。GitHub 当前没有证据显示客户信息在 GitHub 内部仓库之外受到影响，包括客户企业、组织和仓库。

第三，事件涉及凭据处置。GitHub 已轮换关键 secrets，并优先处理最高影响凭据，这说明 GitHub 将该事件按凭据暴露风险进行处置，而不是仅按「源码被查看」处理。

这里仍需区分「没有证据显示受影响」和「绝对没有影响」。GitHub 当前公开说法是前者，不是后者。

结论

这起事件目前可以清楚还原为一条公开事件链：TeamPCP 在 BreachForums 发布 GitHub 内部源码和内部组织数据售卖帖，声称掌握约 4,000 个私有代码仓库，并设置最低 5 万美元报价；随后 GitHub 公开确认正在调查内部仓库未授权访问，称当前没有证据显示客户信息在 GitHub 内部仓库之外受到影响；GitHub 后续补充称，事件涉及一台员工设备受损和一款被投毒的 Microsoft Visual Studio Code 扩展，并已轮换关键 secrets。

目前可以写实的核心判断只有一个：这是一起 GitHub 内部仓库访问与外泄调查事件，且 TeamPCP 已在地下论坛将相关数据作为商品出售。 任何关于具体扩展名称、具体攻击链、横向移动方式、外泄工具、样本完整性、客户侧影响的结论，都需要等待 GitHub 后续报告或其他可验证证据。