GitHub 今早正式承認內部倉庫遭未授權存取,但強調目前無客戶資料外洩證據;可資安社群警告:GitHub 基礎設施若被滲透,後果遠比單一倉庫洩漏嚴重得多。
(前情提要:小龍蝦 OpenClaw 爆紅成「駭客提款機」!官網遭畫素級複製洗劫 Web3 錢包)
(背景補充:小心 Github 上的開源 Bot!慢霧餘弦:某免費開源機器人藏後門、竊取 Solana 私鑰)
本文目錄
- Grafana、CISA、SailPoint:一個月內連環爆
- Coinbase、Bitwarden CLI 是前車之鑑
- 真正的風險:是 GitHub 的簽署金鑰
- 加密專案現在能做什麼
GitHub 於台灣時間今(20)日稍早透過官方 X 帳號(@github)發出聲明,正式承認內部倉庫遭到未授權存取,目前正在進行調查。
GitHub 在公告中強調:「目前沒有證據顯示儲存於 GitHub 內部倉庫以外的客戶資訊(包含企業帳戶、組織及用戶倉庫)受到影響」,並表示正密切監控基礎設施以防範後續動作,若發現任何影響將透過既有事件回應管道通知客戶。
Grafana、CISA、SailPoint:一個月內連環爆
此次 GitHub 自身內部倉庫受害,並非孤立事件,而是近期連環攻擊的最新一環。
5 月 16 日,監控平台 Grafana Labs 公開確認遭遇 GitHub Token 外洩事件:攻擊者取得 Token 後下載完整程式碼庫並發出勒索要求,Grafana 選擇拒絕付款。
5 月 14 日,更震撼的案例浮出水面:美國網路安全暨基礎設施安全域性(CISA)的內部 GitHub 倉庫「Private-CISA」對外公開整整六個月,內含 844 MB 明文密碼、AWS Token 及 Entra ID SAML 憑證。連美國最高網路防禦機構都栽在 GitHub 設定疏失上,The Register 形容其中部分檔案名稱「明顯到令人難以置信」。
同月,身份安全公司 SailPoint 的 GitHub 倉庫也遭入侵,SecurityAffairs 披露該事件顯示攻擊者已將矛頭指向掌管大量憑證的資安廠商本身。
Coinbase、Bitwarden CLI 是前車之鑑
對加密貨幣業者而言,GitHub 基礎設施遭滲透的後果也早有血淋淋的前例。
2026 年 3 月,Palo Alto Networks 旗下 Unit42 揭露一起針對性供應鏈攻擊:攻擊者的第一目標正是 Coinbase 開源專案 agentkit。Coinbase 偵測並封鎖後,攻擊者轉移陣地,成功劫持廣泛使用的 GitHub Action「tj-actions/changed-files」,最終波及 23,000 個倉庫,其中 218 個實際發生 secrets 外洩。完整分析詳見 Unit42 報告。
同年 4 月至 5 月,「second-action」等 15 個熱門 GitHub Action 標籤遭竄改,指向惡意 commit,The Hacker News 也記錄了這起影響範圍廣泛的標籤劫持事件。
最直接衝擊加密用戶的是 Bitwarden CLI 事件:攻擊者透過遭入侵的 GitHub Action,在 Bitwarden CLI 2026.4.0 版本植入惡意 npm 套件,程式主動竊取 MetaMask、Phantom 及 Solana 錢包檔案。此攻擊鏈完整示範了「CI/CD 管線 → 套件管理器 → 終端用戶錢包」的三段式收割路徑。
真正的風險:是 GitHub 的簽署金鑰
GitHub 的聲明把焦點放在「客戶倉庫無虞」,但資安社群的擔憂指向更深層的威脅。
如果攻擊者在 GitHub 內部倉庫橫向移動,真正有價值的目標包含:軟體簽署金鑰(可用於偽造合法更新)、CI/CD 系統控制權(可在任意時間點注入惡意程式碼)、Dependabot 或 GitHub Actions 的執行上下文(可汙染下游所有依賴這些工具的專案)。
工程圈知名評論者 Gergely Orosz 及開發者 Mario Zechner 近期公開批評 GitHub 的穩定性與安全性持續下滑,Zechner 直言
加密專案現在能做什麼
面對這波持續升溫的 GitHub 供應鏈威脅,資安社群建議加密專案立即採取以下四項防禦措施:
- GitHub Actions 鎖定到完整 SHA,而非 tag 或 branch 名稱,防止標籤劫持
- Secrets 用 environment 隔離,搭配最小權限原則,避免單一 Token 外洩導致全線失守
- 開啟 Push Protection 與 GitHub Advanced Security(GHAS),在推送階段攔截意外上傳的憑證
- 開發機與 production 簽署金鑰實體分離,即使 CI 環境被滲透,也無法偽造正式版本簽章
GitHub 表示調查仍在進行中,將透過既有事件回應管道發布後續通知。對於已將整條部署管線建立在 GitHub 基礎設施上的加密專案而言,這起事件的最終影響範圍,要等 GitHub 完成內部鑑識才能真正評估。
📍相關報導📍
AI 吸乾全世界,GitHub 數據顯示 Crypto 加密緩慢死亡
GitHub Copilot 喊停自助訂閱:AI 用量失控,平價方案經濟學已全面崩潰
AI 時代還需要學寫程式?GitHub CEO 告訴你開發者的未來價值在哪
小龍蝦 OpenClaw 爆紅成「駭客提款機」!官網遭畫素級複製洗劫 Web3 錢包
用嘴巴寫程式!GitHub攜手OpenAI推出智慧程式碼助手「Copilot X」
