GitHub Xác Nhận Việc Bị Rò Rỉ 3,800 Repo Qua Tiện Ích VS Code Độc Hại

GitHub đang đối mặt với một vụ rò rỉ bảo mật nghiêm trọng. Công ty xác nhận vào ngày 20 tháng 5 năm 2026 rằng tin tặc đã xâm nhập vào thiết bị của một nhân viên bằng cách sử dụng một tiện ích VS Code độc hại. Họ đã có được quyền truy cập trái phép vào khoảng 3,800 kho lưu trữ nội bộ.

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…

— GitHub (@github) May 20, 2026

GitHub đã hành động nhanh chóng, cách ly thiết bị, gỡ bỏ tiện ích độc hại và thay đổi các thông tin xác thực quan trọng trong vòng vài giờ sau khi phát hiện. Quan trọng là, công ty cho biết hiện không có bằng chứng nào cho thấy dữ liệu khách hàng, tài khoản doanh nghiệp hay kho lưu trữ của người dùng bị ảnh hưởng. Tin tức GitHub hôm nay là một lời nhắc nhở rõ ràng cho mọi nhà phát triển có API key được lưu trữ trong các kho riêng tư.

Cách Thức Tấn Công Xảy Ra

Vector tấn công rất đơn giản. Một tác nhân đe dọa đã nhúng mã độc vào một tiện ích VS Code. Một nhân viên GitHub đã cài đặt phiên bản độc hại. Từ đó, kẻ tấn công đã có quyền truy cập vào thiết bị của nhân viên và bắt đầu lấy dữ liệu từ các kho lưu trữ nội bộ.

GitHub xác nhận thời gian xảy ra sự việc trực tiếp trong một chuỗi công khai. “Hôm qua, chúng tôi đã phát hiện và cách ly một vụ xâm nhập vào thiết bị của một nhân viên liên quan đến một tiện ích VS Code độc hại,” công ty cho biết. “Chúng tôi đã gỡ bỏ phiên bản tiện ích độc hại, cách ly điểm cuối và bắt đầu phản ứng sự cố ngay lập tức.”

Nhóm đe dọa TeamPCP đã nhận trách nhiệm trên các diễn đàn tội phạm mạng ngầm. Nhóm này tuyên bố đã thu thập dữ liệu từ khoảng 4,000 kho lưu trữ riêng tư. Nó bao gồm mã nguồn của nền tảng độc quyền và các tài liệu tổ chức nội bộ, và được cho là đang cố gắng bán tập dữ liệu này với giá hơn 50,000 USD. GitHub đánh giá rằng tuyên bố của kẻ tấn công về khoảng 3,800 kho lưu trữ là “hướng đi nhất quán” với các phát hiện điều tra của họ cho đến nay.

Phản Ứng Của GitHub

Phản ứng trước vụ rò rỉ bảo mật đã diễn ra trên nhiều mặt trận đồng thời. GitHub đã thay đổi các bí mật quan trọng vào cùng ngày phát hiện, ưu tiên các thông tin xác thực có tác động cao nhất trước. Đội ngũ bảo mật đã ngay lập tức cách ly điểm cuối bị ảnh hưởng. Các nhà phân tích đang liên tục kiểm tra nhật ký để tìm bất kỳ hoạt động nào tiếp theo. Thêm vào đó, thị trường đã gỡ bỏ phiên bản tiện ích VS Code độc hại khỏi lưu thông. GitHub cam kết sẽ công bố một báo cáo đầy đủ hơn khi cuộc điều tra hoàn tất. Họ đã hứa sẽ thông báo cho khách hàng qua các kênh phản ứng sự cố đã thiết lập nếu phát hiện bất kỳ tác động nào đến khách hàng.

Phản Ứng Của Ngành

Cộng đồng nhà phát triển rộng lớn đã phản ứng nhanh chóng. Người sáng lập Binance CZ đã đưa ra một lời khuyên trực tiếp đến khán giả của mình. “Nếu bạn có API key trong mã của mình, ngay cả trong các kho riêng tư, bây giờ là lúc để kiểm tra và thay đổi chúng,” ông đã đăng, khuếch đại tin tức về vụ rò rỉ bảo mật của GitHub đến hàng triệu nhà phát triển trên toàn cầu. Lời khuyên đó không chỉ là đề phòng. Nó là khẩn cấp. Các nhà phát triển thường lưu trữ API key, token xác thực và thông tin xác thực dịch vụ trong các kho riêng tư, với giả định rằng chúng an toàn khỏi việc bị lộ.

Bức Tranh Lớn Hơn Đối Với Các Nhà Phát Triển

Tin tức về vụ rò rỉ bảo mật quy mô này từ GitHub mang lại những hệ quả lớn. Điều này bởi vì GitHub lưu trữ hơn 100 triệu kho lưu trữ và là cơ sở hạ tầng mã chính cho hệ sinh thái nhà phát triển toàn cầu. Do đó, một vụ rò rỉ nhắm vào các kho lưu trữ nội bộ, ngay cả khi không có sự lộ dữ liệu khách hàng, cho thấy bề mặt tấn công khổng lồ mà các mối đe dọa chuỗi cung ứng đại diện.

Đối với các nhà phát triển, ba hành động ngay lập tức là quan trọng. Đầu tiên, thay đổi bất kỳ API key nào được lưu trữ trong các kho, dù là riêng tư hay công khai. Thứ hai, kiểm tra danh sách tiện ích trong VS Code và gỡ bỏ bất kỳ thứ gì không được xác minh. Cuối cùng, kích hoạt quét bí mật kho lưu trữ để tự động phát hiện các thông tin xác thực bị lộ. Mặc dù cuộc điều tra vẫn đang diễn ra, sự minh bạch của GitHub trong suốt quá trình đã rất đáng chú ý. Báo cáo đầy đủ, khi được công bố, sẽ là tài liệu cần đọc cho mọi đội ngũ bảo mật trong lĩnh vực công nghệ.