过去几年里，开发者圈子里一直有个默认共识：“从官方插件市场下载工具，至少是安全的。”——但现在，这个共识正在被一次次打破。 就在这两天，全球最大代码托管平台之一的 GitHub 官方确认：由于一名员工不慎安装了一款恶意 VS Code 扩展插件，GitHub 内部总计约 3800 个核心源码仓库被不法黑客窃取。 而这些被掳走的“弹药”，正摆在暗网的货架上待价而沽，开价高达 5 万美元！ GitHu ...

近日，安全研究员 Ammar Askar 公开了一条利用 VSCode 漏洞一键窃取 GitHub Token 的完整攻击链。攻击者无需密码、无需下载恶意程序，只要诱导用户打开一个特制链接，就有机会获取 GitHub Token，并获得对私有仓库的读写权限。 更具争议的是，在披露漏洞的同时，Askar 还公开炮轰微软安全响应中心（MSRC），称其长期低估 VS Code 安全问题，甚至曾在未给予任 ...

IT之家 6 月 3 日消息，安全研究员 Ammar Askar 昨日（6 月 2 日）发布推文，公开了一个概念验证（PoC）漏洞，指出 GitHub 浏览器版 VS Code 存在安全漏洞，用户点击链接后，GitHub OAuth tokens 可能被黑客掌握。 IT之家援引博文介绍，该漏洞受存在于 GitHub 浏览器版 VS Code（github.dev）的 Webview 机制中。Web ...

2026年5月20日，全球最大代码托管平台GitHub官方确认：公司内部代码仓库遭到未经授权访问，约3800个内部仓库数据外泄。 这起事件的幕后黑手是近期频繁制造供应链攻击的黑客组织TeamPCP。该组织已在暗网论坛公开叫卖GitHub源码，标价不低于5万美元，并扬言"如果不卖给任何人，我们就免费泄露"。 GitHub确认目前仅涉及内部仓库，暂未发现客户数据受到影响，并已紧急轮换关键密钥、隔离受感 ...

PANews 5月20日消息，GitHub发文更新了关于 内部仓库未授权访问事件 的调查细节：GitHub昨日检测并控制了一起员工设备遭入侵的事件，该事件涉及一个被植入恶意程序的VS Code扩展。GitHub移除了恶意扩展程序，隔离了受影响的终端，并立即启动了事件响应。目前评估显示，仅GitHub内部仓库存在数据外传，攻击者声称的约3800个仓库数量与调查结果大致一致。GitHub已优先轮换关键 ...

This month a researcher has disclosed how he broke into the official GitHub repository of Microsoft Visual Studio Code. A vulnerability in VS Code's issue management function and a lack of ...

Unlock the full InfoQ experience by logging in! Stay updated with your favorite authors and topics, engage with content, and download exclusive resources. Dany Lepage discusses the architectural ...

To get past the above limitations, developers can subscribe to the GitHub Copilot Pro subscription, which costs $10/month. Microsoft also mentioned that this new GitHub Copilot Free pricing tier with ...