TechFlowより、5月20日、GitHub公式アカウント(@github)が発表したところによると、2026年5月20日に、従業員の端末が悪意あるVS Code拡張機能に感染したことにより、セキュリティインシデントが発生しました。攻撃者は当該拡張機能を介して従業員の端末に侵入し、約3,800個のGitHub内部リポジトリのデータを窃取することに成功しました。GitHubは迅速に対応し、悪意ある拡張機能のバージョンを削除、感染した端末を隔離するとともに、当日および翌日の夜間に重要資格情報(クレデンシャル)のローテーションを完了しました。特に影響度の高い機密資格情報については優先的に対応しました。現在、GitHubは引き続きログの分析、資格情報ローテーション結果の検証、およびその後の異常活動の監視を継続中であり、調査終了後には包括的な報告書を公表する予定です。GitHubでは、今回のインシデントは現時点で内部リポジトリのデータ漏洩のみにとどまり、ユーザーのデータが影響を受けたという証拠は一切得られていないと評価しています。
お気に入りに追加
SNSで共有
