5月20日，全球最大的代码托管平台GitHub官方承认，自己“家”被偷了，约3800个内部私有仓库的源代码，被黑客打包带走，还挂在了暗网上叫卖，起拍价5万美元。

消息一出，程序员们炸锅了。

要知道，GitHub可不是什么小公司。它是微软的“亲儿子”，全球超过1亿开发者的“数字代码银行”。连它都能被攻破，那我们的代码还安全吗？

GitHub官方安全博客披露了事件经过，整个过程听起来甚至有点“黑色幽默”。

攻击的源头，来自一名GitHub员工。他像往常一样，在自己的开发设备上安装了一个VS Code扩展。这个扩展看起来很正常，可能来自官方市场，下载量很高，评分也不错。

但他不知道的是，这个扩展已经被“投毒”了。

一个名为TeamPCP 的黑客组织，通过某种方式劫持了这个扩展的发布渠道，注入了恶意代码。当员工按下“安装”按钮的那一刻，恶意代码就开始在后台静默运行，窃取他设备上的各种凭证——SSH密钥、云服务Token、密码管理器数据……

这些凭证，就是打开GitHub内部仓库的“万能钥匙”。

拿到钥匙后，TeamPCP没有犹豫。他们迅速横向移动，批量克隆了GitHub内部约3800个私有仓库，内容包含GitHub内部核心源码、部署脚本、内部配置材料等核心资产。

整个过程，GitHub的安全团队甚至没有第一时间察觉。直到TeamPCP在暗网论坛上公开叫卖，GitHub才后知后觉地发现：“我们的代码呢？”

TeamPCP的嚣张，不止于技术。

他们在暗网论坛BreachForums上发帖，明码标价：“GitHub内部源代码，起拍价5万美元，价高者得。”

更杀人诛心的是，他们还特意强调：“一如既往，这不是勒索。我们不关心敲诈GitHub，只要有1个买家，我们就会销毁手中的数据。看起来我们的退休就在眼前，如果没有买家，我们将免费泄露。”

翻译过来就是：“GitHub，你们的安全团队不行。这代码，我们拿定了，你们要么花钱买回去，要么就等着全世界围观你们的底裤吧。”

为了证明自己确实拿到了货，他们还在LimeWire这个老牌P2P分享网站上，公布了部分被攻破仓库的列表，供潜在买家“验货”。

这已经不是偷东西了，这是把GitHub的衣服扒了，然后拉着它游街。

如果你觉得TeamPCP这个名字有点耳熟，那很正常。他们就是最近在安全圈里“杀疯了”的那个组织。

就在几天前，他们用同样的手法，攻陷了流行的Nx Console VS Code。那个被投毒的版本只存活了18分钟就被发现并下架，但就是这18分钟，已经让成千上万的开发者中招。攻击者像撒网捕鱼一样，疯狂窃取着所有安装者的凭证，目标文件路径包括Kubernetes、npm、AWS、1Password、私钥和GitHub。

再往前推，他们还攻击了Trivy 漏洞扫描器、Axios HTTP库、TanStack Router…… 每一个都是开发者耳熟能详、每天都在用的工具。

他们的套路极其清晰，像一套流水线作业：

1.选品：找一个安装量巨大、信誉良好的开源工具或扩展。

2.投毒：通过盗取维护者账号或利用更新流程漏洞，注入恶意代码。

3.爆发：发布恶意版本，在极短时间内（通常是几十分钟）进行“饱和式攻击”，感染尽可能多的用户。

4.收割：恶意代码在用户设备上静默运行，窃取凭证，为后续的横向移动和深度入侵做准备。

这不再是传统意义上的黑客攻击，这更像是一场针对整个软件开发生态的恐怖袭击。他们不攻击某一个公司，他们攻击的是所有使用这些工具的“人”。

这次事件最可怕的地方，不在于泄露了多少代码，而在于它彻底击碎了开发者对“官方市场”和“开源工具”的信任。

从前，我们觉得只要从官方应用商店下载App就是安全的。从前，我们觉得只要用那些“明星”开源库就是省心的。

但现在，TeamPCP用实际行动告诉我们：你用的每一个插件，每一个库，都可能是一颗定时炸弹。

那个让你编程效率翻倍的VS Code扩展，可能正在后台偷你的SSH密钥。那个被无数项目引用的npm包，可能正悄悄给你的服务器开一个后门。

正如安全公司Akido Security的Shaun Brown所说：“这些并非来自未知发布者的可疑包和扩展。它们是开发者毫不犹豫就会使用的工具，正是因为它们拥有高安装量、经过验证的发布者徽章以及代表安全的市场合法性。高安装量意味着高价值的入侵。经过验证的发布者意味着开发者不会犹豫。官方市场意味着没人会想到去检查。”

GitHub被黑，不是终点，而是一个信号。它标志着，软件供应链安全，已经变成了悬在开发者头顶的那把“利剑”。

这件事带来的警示作用是，每次在VS Code里愉快地敲代码时，我们都该想一想：刚刚装的那个插件，真的只是个插件吗？