🔥 この記事の詳細
2026-05-22 更新
C
月内に

GitHubの従業員のデバイスが、悪意のあるVisual Studio Code (VS Code) 拡張機能を通じて侵害されました

事案🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇬🇧 UK
🖥️ 製品GitHub
📅 2026-05-22📰 csirt_it
📌 一言でいうと
GitHubの従業員のデバイスが、悪意のあるVisual Studio Code (VS Code) 拡張機能を通じて侵害されました。この攻撃により、約3,800件のプライベートリポジトリからソースコードが不正に流出したことが判明しています。攻撃はTeamPCPというグループによるものとされており、現時点では顧客データや第三者組織のリポジトリへの影響は確認されていません。
🔍該当判定
  • 社内でGitHubを利用してソースコードを管理している
  • 開発者がVisual Studio Code (VS Code) を利用している
  • VS Codeにサードパーティ製の拡張機能(プラグイン)をインストールして利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
開発環境で使用する拡張機能の導入元を厳格に管理し、信頼できないサードパーティ製プラグインのインストールを禁止すること。また、エンドポイントでの不審な挙動を検知するためのEDR等の監視を強化することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub 従業員デバイス侵害によるソースコード流出について

お疲れさまです。GitHubにおけるサプライチェーン攻撃に関する情報共有です。

■ 概要
GitHub従業員のデバイスに悪意のあるVS Code拡張機能がインストールされ、約3,800件のプライベートリポジトリが流出しました。攻撃者はTeamPCPとされており、開発ツールを起点としたサプライチェーン攻撃の事例です。

■ 影響範囲
- GitHub内部のプライベートリポジトリ(約3,800件)
- VS Codeを利用している開発環境

■ 対応手順
1. 開発者が利用しているVS Code拡張機能のリストを確認し、未承認または不審な拡張機能がインストールされていないか点検してください。
2. 拡張機能のインストールポリシーを策定し、公式または信頼されたパブリッシャー以外の導入を制限することを検討してください。
3. 開発端末における不審なネットワーク通信やプロセス実行がないか、EDRログを確認してください。

■ 参考情報
- CSIRT-ITA (BL01/260522/CSIRT-ITA)

対応優先度: 中
対応期限: 速やかに確認
Subject: [Info] Source Code Leak via GitHub Employee Device Compromise

Dear Team,

We are sharing information regarding a supply chain attack targeting GitHub.

■ Overview
An attacker from the group 'TeamPCP' compromised a GitHub employee's endpoint via a malicious Visual Studio Code (VS Code) extension. This resulted in the exfiltration of approximately 3,800 private repositories.

■ Scope
- GitHub internal private repositories (~3,800 items)
- Development environments utilizing VS Code

■ Recommended Actions
1. Audit the list of VS Code extensions installed on developer machines to identify any unauthorized or suspicious plugins.
2. Implement a strict policy for extension installations, restricting them to official or trusted publishers.
3. Review EDR logs for any suspicious network traffic or process execution on developer endpoints.

■ Reference
- CSIRT-ITA (BL01/260522/CSIRT-ITA)

Priority: Medium
Deadline: Immediate review
📰 関連する 1 件の記事
theregisterGitHubの内部リポジトリが、悪意のあるVS Code拡張機能を用いたサプライチェーン攻撃によって流出したこと
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-22 のまとめ🔍 記事を検索