GitHub 官方账号 @github 于北京时间 5 月 20 日上午 7:48 在 X 发文确认,正在调查一起对 GitHub 内部仓库的未授权访问事件,目前"没有证据显示存储于 GitHub 内部仓库之外的客户信息(包括企业账户、组织及仓库)受到影响",并表示正持续监控基础设施,如发现任何影响将通过既有事件响应渠道通知用户。事件的直接诱因是网络犯罪论坛 hackrisk.io 上出现署名"TeamPCP"的帖子,宣称已窃取 GitHub 内部源代码及内部组织数据,约 4,000 个私有仓库以最低 5 万美元挂牌出售;帖子强调"这不是勒索",声称只卖给一个买家后删除数据,若无买家则免费公开泄露,约 45 分钟后 GitHub 官方作出响应。
据 The Hacker News 报道,TeamPCP 是曾多次针对开源软件供应链发起攻击的知名威胁行为者,与 Shai-Hulud 恶意软件的创建者存在关联。需注意,此次事件与此前 3 月披露的 CVE-2026-3854 漏洞(Wiz 发现的 RCE 漏洞,由 GitHub 在漏洞被利用前完成修补)为两起独立事件——CVE-2026-3854 经核实从未被实际利用,而此次内部仓库访问系新发现的安全事件,攻击向量尚未公开。截至发稿,调查仍在进行,受影响仓库的具体范围及攻击路径均未披露。