AI创业内参
AI风向

【AI风向】GitHub遭史上最狠供应链攻击:一个VS Code插件偷走3800个内部仓库,AI工具链安全告急

AI创业内参

2026年5月20日,一个被投毒的VS Code扩展在GitHub员工电脑上运行了18分钟,盗走3800个内部代码仓库。同一攻击波还击穿了OpenAI、Mistral AI和170+个npm包——这不是演习,AI创业者的开发工具链正在成为攻击者的新战场。

事件回顾:18分钟,3800个仓库

5月20日,GitHub官方确认一起重大安全事件:一名员工安装了一个被投毒的Nx Console(nrwl.angular-console)VS Code扩展,导致攻击者窃取了约3800个GitHub内部代码仓库。这个扩展在Visual Studio Marketplace上存活了约18分钟,在OpenVSX上存活了36分钟。

攻击者的身份很快浮出水面。威胁组织TeamPCP(Google威胁情报组追踪编号UNC6780,与朝鲜有关联)在Breached论坛上公开叫卖:"GitHub源代码和内部组织",起拍价5万美元。

更令人不安的是,GitHub只是这场攻击的冰山一角。Nx Console扩展之所以被攻破,是因为其开发者的系统在更早的TanStack npm供应链攻击中已经被入侵。TeamPCP利用窃取的CI/CD凭证,像蠕虫一样从一个项目跳到下一个,目前已确认的受害者包括:

  • OpenAI:npm包被篡改
  • Mistral AI:npm包被篡改
  • Microsoft:durabletask Python SDK在PyPI上被植入恶意代码
  • 欧洲委员会:旗下项目受影响
  • Grafana Labs、UiPath、Guardrails AI、OpenSearch:CI/CD凭证被盗
  • 170+个npm包:被植入恶意版本(包括伪造的Sigstore签名)

安全公司Trend Micro将这一系列攻击命名为"Mini Shai-Hulud"(迷你沙虫)蠕虫——取这个名字是因为它像《沙丘》里的巨型沙虫一样,在地下穿行,吞噬一切。StepSecurity和Snyk也各自发布了独立追踪报告。

攻击链路全还原

这次攻击的传播路径值得每个开发者细看:

TanStack npm包被入侵(起点)

  → 窃取Nx团队开发者的CI/CD凭证

    → 投毒Nx Console VS Code扩展(220万安装量)

      → GitHub员工安装后被控

        → 3800个内部仓库被窃取

      → 同一批凭证继续扩散

        → 639个恶意npm包版本被发布(含伪造Sigstore签名)

        → Microsoft durabletask Python SDK被篡改

这不是一次性的漏洞利用,而是一条精心设计的供应链蠕虫。攻击者每攻破一个目标,就利用其凭证去感染下一个——这正是开源生态最脆弱的环节:信任链。

安全公司Endor Labs在分析报告中指出:"攻击者成功伪造了Sigstore加密签名,这意味着即使是启用了npm包完整性验证的企业,也可能被绕过。"这是第三代软件供应链攻击的标志性特征:不仅投毒,还要伪造"安全证书"来掩盖毒性。

Mini Shai-Hulud供应链蠕虫攻击传播链

▲ Mini Shai-Hulud供应链蠕虫攻击传播链:从TanStack npm到GitHub 3800仓库

为什么对AI创业者尤其致命

1. AI工具链本身就是高价值目标

GitHub内部仓库包含的不只是代码。想象一下:GitHub Copilot的训练数据管线、内部AI模型的微调脚本、企业客户的私有仓库元数据——这些信息对竞争对手和恶意行为者的价值远超5万美金。

更关键的是,AI创业者往往同时使用多个AI开发工具——VS Code + GitHub Copilot + Claude Code/Codex + 各种MCP服务器。任何一个环节被攻破,整个开发环境就变成了透明鱼缸。

2. "67%的人用个人账号访问AI工具"

Verizon 2026年数据泄露调查报告(DBIR)恰好在攻击披露的同一天发布,给出了一个触目惊心的数字:67%的员工通过非企业账号访问AI工具。 这意味着大多数AI工具的使用完全绕过了企业的安全管控——安全团队甚至不知道员工在用哪些AI服务,更谈不上防护。

Verizon 2026 DBIR:67%员工用个人账号访问AI工具

▲ Verizon 2026 DBIR:67%员工通过非企业账号访问AI工具,安全管控形同虚设

3. VS Code扩展生态的"信任赤字"

Nx Console扩展拥有220万安装量,在Visual Studio Marketplace上属于绝对的主流工具。但这次事件暴露了一个残酷的现实:安装量不等于安全性。扩展的维护者被攻破后,恶意版本可以悄无声息地推送,用户在下一次自动更新时就会中招。

这是六周内GitHub遭遇的第三次重大供应链攻击。频率在加速,手法在升级。

AI创业者现在该做什么

立刻执行(今天)

  1. 审查VS Code扩展清单
  1. 关闭VS Code扩展自动更新
  1. 检查npm全局包

短期加固(本周)

  1. 启用npm包完整性验证
  1. 隔离AI工具的使用环境
  1. 审计CI/CD凭证

长期策略

  1. 建立"零信任"供应链策略
  1. 监控依赖树的变化
  1. 为AI工具建立独立的安全边界
  • 在独立VM中运行AI编码工具
  • 敏感项目禁用AI工具的代码库访问
  • 定期审查AI工具的网络请求日志

更大的图景:AI加速了攻击节奏

这次攻击有一个容易被忽略的维度:AI本身正在加速攻击者的武器研发速度。 安全公司Trend Micro在分析报告中特别指出,TeamPCP的"Mini Shai-Hulud"蠕虫在代码质量和传播策略上展现了"超越传统APT组织的工程水平"——很可能是借助AI辅助开发的。

讽刺的是:我们在用的AI开发工具让我们的开发效率提升了10倍,但攻击者用同样的AI工具也让他们的攻击效率提升了10倍。Verizon DBIR报告的另一组数据佐证了这一点:2026年供应链攻击的数量同比增加了214%,其中超过80%的攻击链在初次入侵后24小时内就完成了横向移动——这个速度在AI工具普及前是闻所未闻的。

行动建议

供应链安全不是一个技术问题,是一个生存问题。对于AI创业者,你的代码就是你最重要的资产。今天GitHub被偷3800个仓库,明天可能就是你的创业项目。

你现在就可以做的3件事:

  1. 打开VS Code → Cmd+Shift+X → 审视每一个已安装的扩展 → 删掉不需要的
  2. 运行 npm audit 检查你的项目依赖 → 修复所有高危漏洞
  3. 把你所有CI/CD token轮换一遍 → 不要用超过30天的token

这件事还没有结束。TeamPCP仍在活跃,被窃取的3800个仓库还在黑市上挂着5万美金的标价。下一次,可能就是你了。

参考来源

  • GitHub官方确认声明:GitHub CISO Alexis Wales声明(2026年5月20日)
  • VentureBeat报道:GitHub confirms 3,800 internal repos stolen through poisoned VS Code extension(2026年5月21日)— venturebeat.com/security/github-confirms-3800-repos-stolen-poisoned-vs-code-extension-supply-chain-worm-microsoft-python-sdk
  • BleepingComputer:GitHub links repo breach to TanStack npm supply-chain attack(2026年5月21日)
  • The Hacker News:GitHub Internal Repositories Breached via Malicious Nx Console VS Code Extension(2026年5月21日)
  • Varonis分析:GitHub Breach via Malicious VS Code Extension — varonis.com/blog/github-breach
  • StepSecurity:Nx Console VS Code Extension Compromised — stepsecurity.io/blog/nx-console-vs-code-extension-compromised
  • Trend Micro:Analyzing TeamPCP Supply Chain Attacks — trendmicro.com
  • Endor Labs:Mini Shai-Hulud returns with 42 malicious npm packages and fake Sigstore badges
  • Verizon 2026 DBIR:67% of employees access AI tools through non-corporate accounts
  • Nx团队联合创始人Jeff Cross的X平台声明

本文由AI辅助创作,经人工审核编辑发布