GitHub ยืนยันการละเมิดความปลอดภัยของ 3,800 โครงการผ่านส่วนขยาย VS Code ที่มีไวรัส

GitHub กำลังเผชิญกับการละเมิดความปลอดภัยภายในที่ร้ายแรง บริษัทได้ยืนยันเมื่อวันที่ 20 พฤษภาคม 2026 ว่าผู้โจมตีได้เข้าถึงอุปกรณ์ของพนักงานโดยใช้ส่วนขยาย VS Code ที่มีไวรัส พวกเขาได้เข้าถึงโครงการภายในประมาณ 3,800 โครงการโดยไม่ได้รับอนุญาต

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…

— GitHub (@github) May 20, 2026

GitHub ได้ดำเนินการอย่างรวดเร็ว โดยการแยกอุปกรณ์ ลบส่วนขยายที่เป็นอันตราย และหมุนเวียนข้อมูลรับรองที่สำคัญภายในไม่กี่ชั่วโมงหลังจากการตรวจพบ ที่สำคัญ บริษัทกล่าวว่าในขณะนี้ไม่มีหลักฐานว่ามีผลกระทบต่อข้อมูลลูกค้า บัญชีองค์กร หรือโครงการของผู้ใช้ ข่าว GitHub วันนี้เป็นสัญญาณเตือนสำหรับนักพัฒนาทุกคนที่มี API keys เก็บอยู่ในโครงการส่วนตัว

การโจมตีเกิดขึ้นได้อย่างไร

ช่องทางการโจมตีมีความซับซ้อนน้อยมาก ผู้โจมตีได้ฝังมัลแวร์ไว้ในส่วนขยาย VS Code พนักงาน GitHub ได้ติดตั้งเวอร์ชันที่มีไวรัส จากนั้นผู้โจมตีได้เข้าถึงอุปกรณ์ของพนักงานและเริ่มขโมยข้อมูลจากโครงการภายใน

GitHub ได้ยืนยันไทม์ไลน์โดยตรงในกระทู้สาธารณะ “เมื่อวานนี้เราตรวจพบและควบคุมการละเมิดอุปกรณ์ของพนักงานที่เกี่ยวข้องกับส่วนขยาย VS Code ที่มีไวรัส” บริษัทกล่าว “เราลบเวอร์ชันส่วนขยายที่เป็นอันตราย แยกจุดสิ้นสุด และเริ่มการตอบสนองต่อเหตุการณ์ทันที”

กลุ่มผู้โจมตี TeamPCP ได้อ้างความรับผิดชอบในฟอรัมอาชญากรรมไซเบอร์ใต้ดิน กลุ่มนี้อ้างว่าพวกเขาได้ข้อมูลจากโครงการส่วนตัวประมาณ 4,000 โครงการ ซึ่งรวมถึงโค้ดซอร์สแพลตฟอร์มที่เป็นกรรมสิทธิ์และไฟล์ภายในองค์กร และมีรายงานว่ากำลังพยายามขายชุดข้อมูลนี้ในราคาเกิน 50,000 ดอลลาร์ GitHub ประเมินว่าข้อเรียกร้องของผู้โจมตีเกี่ยวกับโครงการประมาณ 3,800 โครงการนั้น “สอดคล้องในทิศทาง” กับผลการสอบสวนจนถึงขณะนี้

การตอบสนองของ GitHub

การตอบสนองต่อการละเมิดความปลอดภัยได้ดำเนินการในหลายด้านพร้อมกัน GitHub ได้หมุนเวียนข้อมูลรับรองที่สำคัญในวันเดียวกันกับการตรวจพบ โดยให้ความสำคัญกับข้อมูลรับรองที่มีผลกระทบสูงสุดก่อน ทีมรักษาความปลอดภัยได้แยกจุดสิ้นสุดที่ได้รับผลกระทบทันที นักวิเคราะห์กำลังตรวจสอบบันทึกอย่างต่อเนื่องเพื่อหากิจกรรมที่ตามมา นอกจากนี้ ตลาดยังได้ลบเวอร์ชันส่วนขยาย VS Code ที่เป็นอันตรายออกจากการหมุนเวียน GitHub ได้ให้คำมั่นว่าจะเผยแพร่รายงานที่ละเอียดมากขึ้นเมื่อการสอบสวนเสร็จสิ้น พวกเขาสัญญาว่าจะแจ้งลูกค้าผ่านช่องทางการตอบสนองต่อเหตุการณ์ที่จัดตั้งขึ้นหากพบผลกระทบต่อลูกค้า

ปฏิกิริยาจากอุตสาหกรรม

ชุมชนนักพัฒนาที่กว้างขึ้นตอบสนองอย่างรวดเร็ว CZ ผู้ก่อตั้ง Binance ได้ออกคำแนะนำโดยตรงไปยังผู้ชมของเขา “หากคุณมี API keys ในโค้ดของคุณ แม้ในโครงการส่วนตัว ตอนนี้เป็นเวลาที่จะตรวจสอบและเปลี่ยนแปลงพวกเขา” เขาโพสต์ ส่งข่าวการละเมิดความปลอดภัยของ GitHub ไปยังนักพัฒนาหลายล้านคนทั่วโลก คำแนะนำนี้ไม่ใช่เพียงการป้องกัน แต่เป็นเรื่องเร่งด่วน นักพัฒนามักจะเก็บ API keys, โทเคนการตรวจสอบสิทธิ์ และข้อมูลรับรองบริการไว้ในโครงการส่วนตัว โดยสมมติว่าพวกเขาปลอดภัยจากการเปิดเผย

ภาพรวมที่ใหญ่กว่าสำหรับนักพัฒนา

ข่าวการละเมิดความปลอดภัยในระดับนี้จาก GitHub มีผลกระทบที่ใหญ่หลวง เนื่องจาก GitHub มีโครงการมากกว่า 100 ล้านโครงการและทำหน้าที่เป็นโครงสร้างพื้นฐานหลักของโค้ดสำหรับระบบนิเวศนักพัฒนาทั่วโลก ดังนั้น การละเมิดที่มุ่งเป้าไปที่โครงการภายใน แม้จะไม่มีการเปิดเผยข้อมูลลูกค้า แสดงให้เห็นถึงพื้นผิวการโจมตีที่กว้างใหญ่ที่ภัยคุกคามในห่วงโซ่อุปทานเป็นตัวแทน

สำหรับนักพัฒนา มีสามการกระทำที่สำคัญในทันที ประการแรก หมุนเวียน API keys ใดๆ ที่เก็บไว้ในโครงการ ไม่ว่าจะเป็นส่วนตัวหรือสาธารณะ ประการที่สอง ตรวจสอบรายการส่วนขยายใน VS Code และลบสิ่งที่ไม่ได้รับการตรวจสอบ สุดท้าย เปิดใช้งานการสแกนข้อมูลลับในโครงการเพื่อจับข้อมูลรับรองที่เปิดเผยโดยอัตโนมัติ แม้ว่าการสอบสวนจะยังดำเนินอยู่ ความโปร่งใสของ GitHub ตลอดเวลานั้นน่าชื่นชม รายงานที่ละเอียดมากขึ้นเมื่อเผยแพร่จะเป็นการอ่านที่สำคัญสำหรับทีมรักษาความปลอดภัยทุกทีมในเทคโนโลยี