← #794

GitHub 被自家员工装的恶意 VSCode 扩展拖下水：3800 个内部仓库泄露

查看原文 HN 讨论

文章摘要

事件经过：GitHub 公开承认一名员工的开发设备被一个被投毒的 VS Code 扩展（事后查实是 Nx Console 的恶意伪装版本）入侵，导致约 3800 个内部仓库被攻击者克隆并外泄。GitHub 的声明明确指出”外泄仅涉及 GitHub 内部仓库，未发现客户数据外泄”，同时也确认这只攻击和近期 npm 生态里的 TanStack 供应链事件存在关联——攻击者复用了同一套渗透手法，把恶意 payload 藏进流行包的依赖链里。

勒索方：自称 TeamPCP 的黑客组织声明对此次事件负责，索要不低于 5 万美元的赎金以换取代码不公开。这个金额相对于 3800 个仓库的规模出奇地低，多方解读是攻击者只是想测试一次得手后的市场反应，而非真的把代码当资产卖。GitHub 已经把恶意扩展从 VS Code Marketplace 下架，并隔离了被入侵的员工设备。

为什么会发生：VS Code 的扩展模型几乎没有任何沙箱——一个扩展跑起来后默认拥有员工本机的全部权限，可读可写文件系统，可发起任意网络请求。这次的恶意扩展通过仿冒 Nx Console（一个流行的 monorepo 工具集成扩展）骗到员工安装，植入后立刻读取 GitHub 内部凭据并扫描可访问仓库。整个攻击链的”上游”早在 npm 包发布阶段就埋下了，开发者只是供应链的最后一环。这件事让”开发者主机即攻击面”再次成为讨论焦点。

HN 评论精华

• hahn-kev：从 LSP（Language Server Protocol）的设计层面剖析根因——LSP 模式让几乎每个扩展都需要启动自己的进程，所以即使 VS Code 想做权限沙箱，只要扩展能起进程，权限模型就基本失效。这是 IDE 类工具在表达力和安全性之间的天然冲突。

• notnullorvoid：呼吁的方向是 类浏览器的显式权限模型——主题扩展只能改主题，不能跑代码、不能访问文件系统、不能联网。绝大多数扩展并不需要那么大的权限面。isityettime 和其他人补充：浏览器扩展也吃过这种亏，但权限粒度迭代了十年终于变得可用，IDE 还远没到那一步。

• simiones：泼了一盆冷水——”开源/透明并不等于安全”。这次的源头是 npm 供应链投毒，而 npm 包大家都能读源码，但没人真的去读自己依赖树里 800 个包的源码。peer dependency 让 bug fix 传播得快，也让恶意代码传播得快。

• isityettime：分享了不少开发者都有的痛——”IT 越管，我的电脑越烂”。早年 dev 工作站是 IT 完全控制的，后来开发者吵着要 admin 权限，于是大家拿到了 admin 权限，但同时也拿到了所有 supply chain 攻击的火力点。这段评论被多人转发为”开发者文化反思”。

• skydhash：从 Unix 历史角度提了个观察——Linux 的安全模型是为 mainframe 上”用户不可能装应用”的场景设计的；PC 时代的开发者每天 sudo / npm install / curl

  sh，相当于把整套 Unix 信任模型拆掉重组。”你可以用 nodejs 专属用户跑 npm，但没人愿意，因为不方便。”

• pojzon：一针见血——”AI 时代的标准安装方式就是把网上随机脚本管道送进 shell 加 sudo。这就足以说明 AI 圈对安全的态度。”

• rigonkulous：极简派的立场——所有 IDE 最后都会试图变成操作系统，那不如就用纯文本编辑器加命令行工具，依赖的攻击面越小越好。但这条评论被反驳：对 JavaScript / TypeScript 来说，”不用 IDE”几乎不可能。

• tracker1：分享了一段在某全球最大银行做合规审计的真实故事——当唯一负责审计扩展和依赖的人离职、新人还没招到时，新版本应用因此积压三个月没发布。这是另一种代价。

• urbandw311er：技术细节追问——他自己的机器在恶意扩展据称下架两小时之后还成功下载了它，质疑 Microsoft 公布的下载量数据。这指向了扩展下架延迟与缓存的问题，让”已下架”对终端用户没有立刻生效。

• snazarov92：把目光投向未来——”很快这种新闻会几乎每天一条，因为越来越多的人不学基础就开始写软件了。”vibe-coding 时代的副作用。