GitHub xác nhận xâm nhập do mở rộng VS Code độc hại, khoảng 3.800 kho nội bộ bị đánh cắp

GitHub vào ngày 20 tháng 5 đã công bố trên X bản cập nhật về điều tra sự cố an ninh, xác nhận rằng một thiết bị của nhân viên bị xâm nhập thông qua một phần mở rộng VS Code bị cài cắm mã độc, dẫn đến việc bị đánh cắp khoảng 3.800 kho lưu trữ nội bộ. GitHub cho biết hiện không có bằng chứng rằng dữ liệu khách hàng được lưu trữ bên ngoài các kho mã nội bộ của GitHub bị ảnh hưởng. GitHub đã gỡ bỏ phần mở rộng độc hại, cô lập các thiết bị đầu cuối bị ảnh hưởng và luân chuyển các chứng chỉ/khóa truy cập quan trọng.

Chi tiết sự cố an ninh được GitHub xác nhận

Theo xác nhận trên bài đăng X chính thức của GitHub:

Phạm vi bị ảnh hưởng: khoảng 3.800 kho lưu trữ nội bộ GitHub (kẻ tấn công tuyên bố số lượng này và kết quả điều tra của GitHub gần như trùng khớp)

Nguyên nhân gốc: thiết bị của nhân viên bị xâm nhập

Cách thức tấn công: phần mở rộng VS Code có cài cắm mã độc (tấn công chuỗi cung ứng cho nhà phát triển)

Tác động tới khách hàng: GitHub xác nhận “rò rỉ dữ liệu được giới hạn nghiêm ngặt trong các kho mã nội bộ của GitHub”, không phát hiện bằng chứng nào cho thấy dữ liệu khách hàng, doanh nghiệp, tổ chức hoặc kho lưu trữ bị ảnh hưởng

Xác nhận tình hình đối tượng đe dọa

Theo tiết lộ của Dark Web Informer (cơ quan tình báo mối đe dọa), đối tượng đe dọa được gọi là TeamPCP đã đăng trên dark web các thông tin sản phẩm để bán mã nguồn nội bộ GitHub và dữ liệu tổ chức trước khi có thông báo của GitHub. H2S Media đưa tin rằng tổ chức đứng sau TeamPCP và phần mềm độc hại sâu (worm) Shai-Hulud là cùng một nhóm, loại mã độc gần đây đã gây nhiễm diện rộng trong các thư viện mã nguồn mở.

Các biện pháp ứng phó đã được thực hiện

Theo xác nhận từ tuyên bố chính thức của GitHub:

Đã hoàn tất: gỡ bỏ phần mở rộng VS Code độc hại, cô lập các thiết bị đầu cuối bị ảnh hưởng, ưu tiên luân chuyển các chứng chỉ/khóa quan trọng có mức độ tác động lớn nhất (hoàn tất trong ngày phát hiện sự cố và đêm hôm đó)

Đang thực hiện: phân tích nhật ký, xác minh tình hình luân chuyển chứng chỉ/khóa, giám sát hoạt động tiếp theo, điều tra toàn diện về sự cố và phản ứng

Dự kiến: sau khi điều tra kết thúc sẽ công bố báo cáo đầy đủ; nếu phát hiện tác động rộng hơn, sẽ thông báo cho khách hàng thông qua các kênh phản ứng sự cố hiện có

Bối cảnh xác nhận sự cố an ninh gần đây của GitHub

Theo dòng thời gian gần đây được H2S Media xác nhận:

Ba tuần trước: các nhà nghiên cứu của Wiz đã công bố CVE-2026-3854, một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, cho phép bất kỳ người dùng đã xác thực nào thực thi lệnh tùy ý trên máy chủ backend của GitHub thông qua một lệnh git push

Tuần trước: kho mã GitHub của SailPoint bị xâm nhập do lỗ hổng của ứng dụng bên thứ ba

Ngày 17 tháng 5 năm 2026: Grafana Labs xác nhận token GitHub bị rò rỉ, kẻ tấn công có được quyền truy cập vào kho lưu trữ và đã cố gắng tống tiền

Câu hỏi thường gặp

Việc xâm nhập này có ảnh hưởng đến các kho công khai của GitHub hay kho lưu trữ của người dùng không?

Theo tuyên bố chính thức của GitHub, rò rỉ dữ liệu “được giới hạn nghiêm ngặt trong các kho lưu trữ nội bộ của GitHub”, hiện không có bằng chứng cho thấy dữ liệu khách hàng, doanh nghiệp, tổ chức hoặc kho lưu trữ bị ảnh hưởng. Các hệ thống hướng tới khách hàng không bị tác động.

Cổng tấn công của lần này là gì và cách phòng ngừa ra sao?

Theo GitHub xác nhận, đường tấn công là phần mở rộng VS Code có cài cắm mã độc, thuộc nhóm tấn công chuỗi cung ứng dành cho nhà phát triển. Người sáng lập Binance là CZ khuyến nghị: “Các khóa API trong kho lưu trữ riêng tư cần được kiểm tra và thay đổi ngay lập tức.”

Khi nào GitHub sẽ phát hành báo cáo sự cố đầy đủ?

Theo tuyên bố chính thức của GitHub, báo cáo đầy đủ sẽ được công bố sau khi hoàn tất điều tra, nhưng thời gian cụ thể vẫn chưa được công bố.