GitHub xác nhận mã nguồn nội bộ bị đánh cắp qua tiện ích VS Code bị nhiễm độc

GitHub, nền tảng lưu trữ mã nguồn và DevOps lớn nhất thế giới, đã trở thành nạn nhân của một tiện ích Visual Studio Code (VS Code) độc hại. Đánh giá ban đầu của công ty cho thấy chỉ có các kho lưu trữ nội bộ bị đánh cắp dữ liệu.

Vụ việc được GitHub công bố trên mạng xã hội X, với các bài đăng theo sau tiết lộ nguyên nhân là do một "tiện ích VS Code bị nhiễm độc". "chuồng mã" thuộc sở hữu của Microsoft này đang tiếp tục "phân tích nhật ký hệ thống, xác nhận việc thay đổi các khóa bảo mật và giám sát mọi hoạt động tiếp theo".

Một bài đăng của GitHub trích dẫn "tuyên bố hiện tại của kẻ tấn công về khoảng 3.800 kho lưu trữ" là phù hợp với cuộc điều tra của họ. Điều này có thể liên quan đến bài đăng được cho là của nhóm TeamPCP, băng đảng phần mềm độc hại liên quan đến sâu Shai-Hulud, mã nguồn của sâu này đã được công bố và gây ra thiệt hại rộng rãi.

Trong một bài đăng, nhóm này đã quảng cáo bán mã nguồn nội bộ của GitHub, tuyên bố có khoảng 4.000 kho lưu trữ. Họ nói rằng đây không phải là tiền chuộc và nếu không tìm thấy người mua, họ sẽ rò rỉ mã nguồn miễn phí. Các tuyên bố như vậy cần được xem xét một cách thận trọng.

Một mối lo ngại chính cho người dùng GitHub là liệu các kho lưu trữ riêng tư có gặp rủi ro hay không, ngay lập tức hoặc trong tương lai nếu những kẻ tấn công đã chiếm được chỗ đứng trong các hệ thống nội bộ thông qua thông tin xác thực bị đánh cắp. Các rủi ro bao gồm việc rò rỉ mã nguồn thương mại và thông tin đăng nhập. Mặc dù thực hành tốt nhất là không kiểm tra các bí mật (secrets) vào bất kỳ kho lưu trữ nào, công khai hay riêng tư, nhưng một số tổ chức ít kỷ luật hơn về vấn đề này khi các kho lưu trữ là riêng tư. Tháng trước, Wiz Research đã phát hiện một lỗ hổng thực thi mã từ xa trên GitHub.com và GitHub Enterprise Server (phiên bản tự lưu trữ), mà các nhà nghiên cứu cho là "dễ dàng khai thác một cách đáng kinh ngạc". Lỗ hổng này được phát hiện bằng AI.

Phản ứng của các nhà phát triển trước những vấn đề mới nhất của GitHub là sự pha trộn giữa báo động và sự cam chịu, cộng thêm một chút hài hước. "Làm thế nào những kẻ tấn công tìm thấy một khoảng thời gian hoạt động đủ lớn để xâm nhập?", một người đùa cợt.

GitHub đang gặp khó khăn. Sự xâm phạm này diễn ra sau sự gia tăng các cuộc tấn công npm, nhiều cuộc trong số đó liên quan đến mã Shai-Hulud, mà công ty đã không ngăn chặn được mặc dù đã biết về vấn đề này kể từ tháng 9 năm 2025. Hơn nữa, nền tảng này gặp các vấn đề về độ tin cậy gây ra một phần bởi các bot AI hút sạch mã nguồn công khai để cung cấp cho các mô hình ngôn ngữ lớn (LLM) — những vấn đề đã khiến đồng sáng lập HashiCorp Mitchell Hashimoto tuyên bố GitHub "không còn là nơi cho những công việc nghiêm túc".

Một người khác nói rằng "kỷ nguyên mà máy tính của nhà phát triển có quyền truy cập mã nguồn cũng có quyền truy cập vào các hệ thống bảo mật có ý nghĩa nên kết thúc. Quyền truy cập vào kho lưu trữ nội bộ không nên có nghĩa là gì cả... Sự xâm phạm của GitHub có thể xảy ra bất cứ lúc nào, thậm chí từ chính GitHub".

Các vấn đề với các nền tảng đám mây cũng làm tăng sức hấp dẫn của các hệ thống tự lưu trữ (self-hosted) như Forgejo mã nguồn mở, nền tảng vận hành Codeberg có trụ sở tại Berlin, một lựa chọn thay thế cho GitHub.

GitHub đã hứa hẹn một báo cáo đầy đủ hơn "khi cuộc điều tra hoàn tất", có lẽ sẽ được đăng lên trang web của chính họ thay vì chỉ báo cáo trên X như hiện tại.