一個 VS Code 外掛,在官方市集上線僅 18 分鐘,就讓 GitHub 約 3,800 個內部程式碼儲存庫遭到竊取。這不是一次偶發的資安事故,而是駭客組織 TeamPCP 連續數月、橫跨數十個開源工具的大規模供應鏈攻擊中,目前最新的一次。受害者名單已確認包含 GitHub、OpenAI、Grafana Labs 與 Mistral AI,反映整個開發生態系正面臨一場結構性的信任危機。
一個外掛、一名員工、3,800 個儲存庫
2026 年 5 月 18 日下午 12 時 30 分(UTC),一個名為 Nx Console v18.95.0 的 VS Code 外掛出現在微軟官方 Visual Studio Marketplace,帶有經驗證發布者標章、累計 220 萬次安裝。這些信任訊號,正是讓它成為高價值攻擊目標的原因。
據《Tech Times》援引 GitHub 資安長 Alexis Wales 的說明,這個版本只在市集上存活了 18 分鐘便遭偵測下架,但已對 GitHub 造成實質影響。一名啟用自動更新的 GitHub 員工在毫不知情的情況下安裝了這個版本,其裝置隨即遭到入侵,並成為 TeamPCP 進入 GitHub 內部系統的跳板。
GitHub 在事後聲明中確認,本次入侵涉及約 3,800 個內部儲存庫的資料外洩,目前評估均為 GitHub 自身程式碼,並無客戶資料受影響的跡象,但調查仍在持續。TeamPCP 在犯罪論壇 BreachForums 上以 5 萬美元標價出售這批資料,並宣稱若找不到買家,將免費公開。
受污染的不只是一個外掛,是整條信任鏈
GitHub 遭攻擊的根源,要追溯至 5 月 11 日更早發生的一場攻擊。據《Tech Times》報導,TeamPCP 在當日入侵了 42 個 TanStack npm 套件,發布含有憑證竊取程式碼的惡意版本,並透過這批套件取得了一名合法 Nx Console 開發者的 GitHub 憑證。攻擊者隨後冒充合法維護者身分,將惡意程式碼推送至官方 nrwl/nx 儲存庫,再發布至 VS Code Marketplace,完成整條攻擊鏈。
OX Security 研究員 Nir Zadok 的技術分析顯示,惡意外掛本身並未內嵌竊取程式碼,而是在啟動時執行一道 shell 指令,從官方 nrwl/nx GitHub 儲存庫的植入提交中下載隱藏套件「nx-next」,偽裝成例行的 Nx Model Context Protocol 設定任務。
下載的套件被 Google 威脅情報小組確認為 SANDCLOCK 憑證竊取程式,可靜默擷取 GitHub 個人存取令牌、OAuth 令牌、npm 驗證令牌、AWS 憑證、Kubernetes 服務帳號金鑰、SSH 私鑰、Google Cloud 及 Docker 憑證,以及 Claude Code 設定檔。竊取的資料透過加密 HTTPS、GitHub API 及 DNS 通道等多重管道同步外洩,封鎖任何單一管道均無法阻止資料離開。
Narwhal Technologies 執行長 Jeff Cross 在事後報告中坦承,惡意版本在未經其他管理員審核的情況下完成發布,並表示公司已加強發布流程,要求任何版本上架前須經兩名管理員批准。他同時指出:「生態系多年來賴以運作的許多假設,已不再成立。」
這正是 TeamPCP 手法的核心邏輯。Wiz 策略威脅情報負責人 Ben Read 向《WIRED》指出,TeamPCP 的核心手法已形成一種對軟體開發者的循環式剝削:駭客先入侵一個開發者常用開源工具的開發環境,在工具中植入惡意程式碼,讓它散布到其他開發者的機器上,包括那些正在開發其他供開發者使用工具的人。
被污染的程式碼讓 TeamPCP 得以竊取新的憑證,再進一步污染下一批工具。「這是一個供應鏈入侵的飛輪效應,自我延續,且已是一個極其成功的網路滲透手法,」Read 說。
20 波攻擊、超過 500 個軟體遭污染,信任即是武器
GitHub 並非 TeamPCP 的第一個目標,根據《WIRED》的報導,資安公司 Socket 追蹤顯示,TeamPCP 在過去幾個月內已發動 20 波供應鏈攻擊,污染超過 500 個獨立軟體版本,波及數百家企業。Google 威脅情報小組將其正式追蹤為 UNC6780,定性為以財務利益為目標的威脅行為者。
其中 Trend Micro 記錄了 TeamPCP 自 2026 年 3 月以來的至少七波攻擊:先後入侵開源安全掃描工具 Trivy、Checkmarx KICS、AI API 工具 LiteLLM、通訊平台 Telnyx、密碼管理工具 Bitwarden CLI,再到 TanStack 與 Mistral AI。
Grafana Labs 資安長 Joe McManus 確認,Grafana 同樣透過 TanStack 攻擊遭到入侵,攻擊者於 5 月 16 日要求支付贖金,Grafana Labs 依循 FBI 建議拒絕付款並通報執法機構。Mistral AI 則確認攻擊者曾於 5 月 12 日短暫存取部分非核心程式碼儲存庫。OpenAI 兩名員工的裝置也經由相同的 TanStack 攻擊路徑遭到入侵。
Palo Alto Networks Cortex 雲端情報團隊經理 Nathaniel Quist 向《WIRED》指出,TeamPCP 的核心優勢在於憑證傳播速度:「他們找到憑證、個人存取令牌,然後比拚一個憑證能走多遠。」
《Tech Times》指出,VS Code 的自動更新機制創造了一個零審查閘道的推送管道,當發布者憑證遭竊,攻擊者可在全球數百萬個開發者環境中同步植入後門,無需釣魚攻擊,無需社交工程,也無需任何可疑的安裝行為。惡意版本觸及目標,不是因為開發者選擇安裝了一個陌生工具,而是因為他們已經選擇信任一個合法工具。
憑證輪替是當務之急,但更深的問題是治理架構
根據《Tech Times》,資安研究人員建議的緊急應對措施包括:立即輪替所有可能在受感染時間窗口(5 月 18 日 UTC 12:30 至 12:48)內存取的 npm、GitHub、AWS 及 1Password 憑證;清查 VS Code 外掛清單並強制執行允許清單;審查 CI/CD 流程是否有橫向移動跡象;以及針對 macOS 裝置檢查 /Users/%/.local/share/kitty/cat.py 路徑是否存在入侵指標。
然而,更根本的問題已超越技術層面。Wiz 的 Read 建議企業對開源工具更新採取「緩衝期」策略,安裝安全補丁,但對新發布的程式碼版本暫緩自動更新。他指出,Wiz 在一次近期的 TeamPCP 惡意更新中,於幾分鐘內偵測到供應鏈入侵並警告客戶,但許多已啟用自動更新的用戶在警告抵達前就已下載。Socket 研究主任 Philipp Burckhardt 也強調,在當前供應鏈攻擊浪潮下,開源使用者需要在部署前分析更新是否含有惡意程式碼,因為「等到它抵達你的機器,一切已經太遲了。」
隨著 AI Coding、Agent 開發與自動化部署持續加速,開發者工具鏈的滲透面只會繼續擴大。TeamPCP 的攻擊模式讓企業面臨的資安問題核心,逐漸從漏洞管理,轉向如何重新建立工具鏈信任與更新治理能力。
【推薦閱讀】
◆ 東南亞超級 App 如何落地台灣?Grab 產品長來台說明 AI 佈局,正面回應資料隱私疑慮
◆ 不能只測模型!50 天 4 起 AI 供應鏈事件,揭露 OpenAI、Anthropic 與 Meta 的資安審查盲區
*本文開放合作夥伴轉載,資料來源:《WIRED》、《TechRadar》、《Tech Times》、《BleepingComputer》,首圖來源:Unsplash
