CZ警告开发者轮换API密钥,因GitHub确认内部遭入侵
币安创始人赵长鹏就GitHub入侵事件在社交媒体发酵之际向开发者发出警告。
"如果你的代码中包含API密钥(即使是私有仓库),现在正是复查和更换它们的时候,"CZ在X平台发文称。
该警告发布之际,GitHub确认正在调查内部仓库遭未授权访问事件。此前威胁组织TeamPCP宣称窃取了约4000个私有及内部仓库数据,包括源代码和公司文件。
该组织正在暗网论坛以5万美元价格兜售被盗数据,并称若找不到买家将公开免费释放这些信息。
GitHub官方确认
GitHub表示入侵源于员工设备通过恶意Visual Studio Code扩展程序被攻陷。公司已检测并控制攻击,移除恶意扩展程序,隔离终端节点,并立即开始优先轮换最高机密级别的关键凭证。
GitHub在公告中确认TeamPCP宣称的约3800个仓库与其调查方向基本吻合。公司评估认为本次入侵仅涉及GitHub内部仓库数据外泄,未发现客户仓库、企业组织或存储于外部系统的用户数据受影响。
GitHub承诺若发现客户受影响将通过既定事件响应渠道通知,并在调查完成后发布完整报告。
TeamPCP仍在活跃
GitHub入侵并非孤立事件。该威胁组织同时运行名为"Mini Shai-Hulud"的恶意软件行动——一种已感染Microsoft官方Python客户端durabletask的自我复制蠕虫。目前已识别三个恶意软件版本:1.4.1、1.4.2和1.4.3。
谷歌旗下云安全公司Wiz指出,攻击者通过先前攻击入侵GitHub账户,从可访问仓库提取GitHub密钥,并利用这些密钥获取直接发布恶意包的PyPI令牌。
被感染软件包中的恶意程序作为投放器运作,会从外部服务器获取并执行第二阶段有效载荷。该攻击仅针对Linux系统,通过AWS SSM和Kubernetes环境传播。
TeamPCP关于GitHub数据销售的声明异常直白,宣称并非勒索GitHub,承诺成交后删除数据,同时警告若无买家最终将公开信息。
相关阅读:Echo Protocol遭黑客攻击损失81.6万美元,虚假eBTC铸造所致
-
07.14
QwenPaw 是什么?可本地部署的个人 AI Agent 助手介绍
-
07.14
karpathy/autoresearch 是什么:把 AI 研究压成一个会自己验收的实验循环
-
07.14
claude-skills 是什么?355 个 Claude Code 技能包合集介绍
-
07.14
斗罗大陆魂师对决2026全新兑换码 5月最新礼包码分享
-
07.14
天堂2盟约攻城战怎么玩-天堂2盟约攻城战玩法是什么
-
07.14
华夏千秋开发信息介绍:华夏千秋是哪个公司的游戏
-
-
-
- 神奇海洋2026年5月21日今日最新答案
- 05.21
-
- 300大作战礼包兑换码大全:最新可用福利汇总
- 05.21
-
-
下载
- |
-
-
下载
- 《行尸走肉第一章》免安装中文汉化硬盘版下载
- 单机|436 MB
- 一款以动作冒险为主题的游戏
-
-
下载
- 《街头霸王X铁拳》免安装中文汉化硬盘版下载
- 单机|111MB
- 一款非常好玩的格斗游戏
-
-
下载
- |
-
-
下载
- 《暗黑破坏神3》免安装繁体中文正式版下载
- 单机|7630 MB
- 一款以角色扮演为主题的游戏
-
-
下载
- 《马克思佩恩3》免安装硬盘版下载
- 单机|27033 MB
- 一款以第三人称射击为主题的游戏