GitHub Internal Repositories Breached Via Weaponized VS Code Extension
2026/05/21 CyberSecurityNews — 2026年5月18日に GitHub の従業員の端末が、悪意の Visual Studio Code エクステンションを介した攻撃により侵害され、内部ソースコード・リポジトリからデータが流出するという深刻な事態が生じた。この攻撃は、5月18日 (月) に GitHub のセキュリティ・チームが、従業員エンドポイント上の不審な活動を特定したことで発覚し、同日に封じ込められた。
侵入の経路は、汚染された VS Code エクステンションにあった。具体的には、第三者により公開された悪意の Nx Console エクステンションの改竄バージョンが、前述の従業員の端末にインストールされていた。
GitHub は、このエクステンションをマーケットプレイスから直ちに削除し、影響を受けた端末を隔離するとともに、全面的なインシデント・レスポンスを開始した。
攻撃者の主張は、約 3,800件の内部リポジトリを窃取したというものだが、GitHub の調査結果と概ね一致している。今回のインシデントは、DevOps プラットフォームを標的とする近年のサプライチェーン型攻撃の中でも、きわめて大規模な事例である。
現時点での GitHub の調査結果によると、侵害は GitHub 内部リポジトリに限定されている。重要な点として、企業アカウント/組織/個人リポジトリなどの顧客向けのインフラへの影響は確認されていない。
ただし、一部の内部リポジトリには、顧客由来のデータであるサポート・チケットの抜粋などが含まれており、限定的ではあっても二次的な影響の可能性がある。
顧客データへの影響が確認された場合の GitHub は、既存のインシデント対応および開示チャネルを通じてユーザー通知を行う方針である。
封じ込め対応として、5月18日 (月) から GitHub セキュリティチームは、重要シークレットのローテーションを開始した。この措置では、影響範囲の大きい認証情報が優先的に対応された。
現在も、以下の対応を継続している。
- ログ分析によるラテラル・ムーブメント兆候の調査
- ローテーション済み認証情報の完全無効化の確認
- プラットフォーム上での持続化メカニズムや二次侵入の監視
この攻撃が示すのは、VS Code エクステンションにおけるサプライチェーン攻撃のリスクの増大である。Angular や monorepo 開発で広く利用される Nx Console エクステンションが配布段階で改竄され、利用者に気付かれずに侵害へと至った。
GitHub は、調査が完了した後に、詳細なポスト・インシデント・レポートを公開する予定である。また、透明性を重視した対応姿勢を示すために、攻撃者が主張する侵害リポジトリ数を、一定の範囲で認めている。
GitHub を利用する組織には、以下の対応が推奨される。
- インストール済み VS Code エクステンションの監査
- エクステンション更新ポリシーの見直し
- API アクセスおよびリポジトリ・アクセスでの異常監視
このインシデントは、開発環境が攻撃対象となる、現代のソフトウェア・サプライチェーン・リスクを改めて浮き彫りにする事例である。
訳者後書:このインシデントは、 開発環境で広く使われている VS Code エクステンションが改竄され、悪意のコードが仕込まれたところから始まっています。信頼してインストールしたツール自体が汚染されているという、サプライチェーンのギャップを突く手口です。 従業員の端末に導入された、改竄済みのエクステンションが、開発者の権限を利用して内部リポジトリへの不正アクセスやデータの流出を引き起こしてしまいます。オープンソース・エコシステムの中核である GitHub の内部でも、この種のサプライチェーン攻撃に対して脆弱であることが明らかにされました。よろしければ、カテゴリー Repository も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.