GitHubは、社員が悪意のあるソフトウェア拡張機能をインストールしたことにより、ハッキンググループが約3,800 [1] の内部リポジトリにアクセスしたことを認めた。
今回の侵害は、開発者のワークフローにおける重大な脆弱性を浮き彫りにした。単一のツールが侵害されるだけで、攻撃者が企業の膨大なプロプライエタリ・コードにアクセスすることを許してしまう。GitHubは世界的なソフトウェア開発の中心的ハブであるため、この事件は大手テック企業の内部環境のセキュリティに対する懸念を呼び起こしている。
「TeamPCP」として知られるハッキンググループは、汚染されたVisual Studio Code拡張機能を通じて、Microsoft傘下の同プラットフォームに不正に侵入した [1], [3]。この種の攻撃は開発者がコードを記述するために使用するツールを標的にし、信頼されたユーティリティを侵入者のゲートウェイへと変貌させる。
GitHubは2026年5月19日に侵害を検知し [4]、翌日にこの件を公表した [2]。報告によると、攻撃者はデータの窃取後、5万ドル [2] の身代金を要求したという。
内部リポジトリには、公開を意図していない機密性の高い設定ファイルやAPIキー、独自のロジックが含まれていることが多い。3,800 [1] もの個別のリポジトリに影響が及んだという規模から、攻撃者は最初の拡張機能が有効化された後、GitHubの内部システム内でラテラルムーブメント(横断的移動)が可能だったことが示唆される。
GitHubは盗まれたリポジトリの具体的な内容については詳述していないが、汚染された拡張機能の使用はサプライチェーン攻撃における成長トレンドとなっている。これらの攻撃は、従業員を欺いて脅威アクターを開発環境に直接招き入れることで、従来の境界型セキュリティを回避する。
“約3,800の内部リポジトリにアクセスされた”
この事件は、ソフトウェアサプライチェーンにおける「依存関係の混乱(dependency confusion)」や悪意のあるプラグインのリスクが高まっていることを強調している。TeamPCPはネットワーク境界ではなく統合開発環境(IDE)を標的にすることで、標準的なセキュリティ層をバイパスした。この侵害は、GitHubのような高セキュリティ組織であっても、ソーシャルエンジニアリングやツールベースのエクスプロイトに脆弱であることを示しており、企業がエンジニアに使用させるサードパーティ製拡張機能の審査方法を転換させる可能性がある。
