Mini Shai-Hulud供應鏈攻擊波及GitHub，近3800個內部儲存庫遭外洩

攻擊事件概述

GitHub於2026年5月20日指出，其內部近3,800個原始碼儲存庫遭到未授權存取，起因是一名員工裝置安裝了惡意的VS Code擴充套件。

攻擊路徑與技術細節

• 攻擊者為駭客組織TeamPCP，針對JavaScript開源工具集TanStack發動供應鏈攻擊。
• 攻擊透過惡意的GitHub Actions工作流程，利用挾持的OIDC權杖（token）進行自動化繁殖與機密竊取。
• 惡意擴充套件被植入開發者環境，導致攻擊沿著開發工具鏈逐步滲透，最終進入GitHub內部。

後續影響與警示

攻擊者已在暗網論壇標價超過5萬美元出售相關資料。資安專家呼籲開發者立即檢查其程式碼儲存庫，並撤換所有關鍵憑證，如npm token、GitHub PAT、AWS憑證與Kubernetes認證。

相關連結

• Reddit：Mini Shai-Hulud 蠕蟲攻擊npm 供應鏈
• 趨勢科技：我們對NPM 供應鏈攻擊的瞭解
• ithome：網頁應用程式框架TanStack的NPM套件遭Mini Shai-Hulud供應鏈攻擊
• X：一名員工設備被惡意VS Code擴充套件入侵

來源：https://www.ithome.com.tw/news/176006