Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

GitHub、悪意あるVS Code拡張機能経由で約3,800の内部リポジトリ流出を確認

記事のキーポイント

• GitHubは、社員の端末に悪意あるVS Code拡張機能が入ったことで、内部リポジトリが漏えいしたと認めた
• 影響を受けたのは顧客データではなく、GitHub内部のリポジトリだと説明している
• 攻撃者側は約4,000リポジトリの窃取を主張しており、GitHubの調査結果とかなり近い
• この事件は、​開発者向けツールの“便利さ”がそのまま攻撃面にもなることを改めて示した
• VS Code拡張機能を悪用する手口は珍しくなく、過去にも似た事例が何度も起きている

何が起きたのか

GitHubが、​約3,800の内部リポジトリが侵害されたと確認しました。きっかけは、同社の社員が悪意あるVS Code拡張機能をインストールしてしまったことです。

VS Codeとは、Microsoftの人気コードエディタ「Visual Studio Code」のこと。
そして拡張機能は、エディタに機能を足すためのプラグインです。たとえばコード補完を強化したり、特定のクラウドサービスとつないだりできます。便利な反面、ここに“毒入り”が混ざると厄介です。かなり厄介です。

GitHubはこの拡張機能をVS Code Marketplaceから削除し、影響を受けた端末も隔離したと説明しています。
つまり、発見後の初動はかなり早かったようです。この手のインシデントでは、​どれだけ早く止められるかが本当に大事なので、そこは評価したいところです。

GitHubの説明はかなり明確

GitHubは次のように述べています。

• 社員端末で、​poisoned VS Code extension​（悪意を仕込まれた拡張機能）による侵害を検知した
• その拡張機能の悪意ある版を削除した
• 端末を隔離し、すぐにインシデント対応を始めた
• 現時点の調査では、​流出したのはGitHub内部のリポジトリのみ
• 攻撃者が主張する約3,800リポジトリという数字は、今の調査結果と整合的

ここで重要なのは、​今のところ顧客データへの影響は確認されていないという点です。
「GitHubがやられた」と聞くと、利用者のコードや認証情報まで全部危ないのでは、と不安になる人もいると思います。でも、少なくとも記事時点では、​外部顧客のデータに被害が及んだ証拠はないとされています。

攻撃者は何を言っているのか

今回の件をめぐって、​TeamPCPと名乗るハッカーグループが、Breachedというサイバー犯罪フォーラム上で、GitHubのソースコードや約4,000の私的コードリポジトリにアクセスしたと主張しました。

しかも彼らの言い分がなかなか生々しい。
「これはランサムウェアではない」「GitHubを脅して金を取るつもりはない」「最低でも5万ドルは欲しい」「買い手が見つからなければ無料で漏らす」といった内容を投稿していたようです。

この手口、要するに
“金を払え。さもないとばらす”
という古典的な脅しに見えます。個人的には、こういう文言を見るたびに、サイバー犯罪の世界も結局は露骨な見世物だなと思ってしまいます。やっていることは高度でも、やり口はかなり雑で、妙に人間臭いです。

どうやって入られたのか

今回の侵入口は、​VS Code拡張機能でした。

拡張機能は、開発者にとっては本当に便利です。
でも一方で、インストールした瞬間にその拡張が認証情報を盗む、​データを外部送信する、​マルウェアを呼び込むといったこともできてしまいます。

つまり、開発者向けの“便利な追加機能”は、そのまま攻撃者にとっての入り口にもなるわけです。
ここが面白くて、そして怖いところです。セキュリティの世界では、派手なゼロデイ攻撃だけが脅威ではなく、​信頼されやすい配布経路そのものが狙われるんですよね。

VS Code拡張機能の悪用は、実はよくある

この記事で印象的なのは、​​「またVS Code拡張機能か」​と思わせるほど、過去にも似た事件が続いていることです。

たとえば記事では、次のような事例が挙げられています。

• 昨年、​900万インストールのVS Code拡張機能がセキュリティ上の理由で削除された
• 正規の開発ツールを装った10個の悪意ある拡張機能が、XMRigという仮想通貨マイナーを感染させた
• 年内には、​基本的なランサムウェア機能を持つ拡張機能もMarketplaceに紛れ込んだ
• さらに最近では、​AIベースのコーディングアシスタントを名乗る2つの悪意ある拡張機能が、感染端末のデータを中国のサーバーへ送信していた

これを見ると、攻撃者が狙うのは単に脆弱性そのものではなく、​開発者が日常的に信用している場所なんだとわかります。
正直、ここはかなりイヤらしいです。でも、だからこそ効果的なんでしょうね。

TeamPCPは以前から要注意グループだった

TeamPCPは以前から、​GitHub、PyPI、NPM、Dockerといった開発者向けのコード配布基盤を狙う大規模なサプライチェーン攻撃に関係していたとされています。

サプライチェーン攻撃とは、ざっくり言えば、
「本体を直接攻撃するのではなく、部品や流通経路を汚染して、利用者に被害を広げる」
タイプの攻撃です。

たとえば、正規の部品に見せかけた偽物を倉庫に混ぜるようなものです。
見た目が普通でも、実は中身が危ない。これがサプライチェーン攻撃の怖さです。

今回のTeamPCPは、最近の**“Mini Shai-Hulud”と呼ばれるキャンペーンにも関与したとされており、OpenAIの社員2人にも影響が出たと報じられています。
こうした経歴を見ると、今回のGitHub侵害も「たまたま」ではなく、​開発者基盤を狙う流れの延長線上にある事件**と考えるのが自然ではないかと思います。

どれくらい大きな事件なのか

GitHubは、4,000万以上の組織に使われ、Fortune 100企業の90%が利用しているとも言われる巨大な開発基盤です。
180万人どころではなく、​1億8,000万人以上の開発者が使っているという規模感も、改めてすごい。

そんな場所で起きた侵害なので、今回の件は単なる一企業のトラブルにとどまりません。
GitHubそのものが世界中のソフトウェア開発の“ハブ”になっている以上、こうした事件は開発の信頼性に直結します。

個人的には、ここが一番大きいポイントだと思います。
今のソフトウェア開発は、コードエディタ、拡張機能、パッケージ、CI/CD、クラウドが全部つながっていて便利な反面、どこか1か所が汚染されると連鎖しやすい。
つまり、開発は速くなったけれど、​信用の前提条件がかなり複雑になったんですよね。

まとめ: 便利な拡張機能ほど、まず疑う時代

今回の事件は、
​「便利なものほど安全とは限らない」​
という当たり前だけど忘れがちな教訓を突きつけています。

VS Code拡張機能は開発者にとって必需品になりつつありますが、そこに悪意あるコードが混ざると、端末だけでなく、会社の内部資産まで一気に持っていかれる可能性があります。

なので、少なくとも開発現場では次のような姿勢が大切だと思います。

• 拡張機能は安易に入れない
• インストール前に提供元や評判を確認する
• 権限や挙動が不自然なものは避ける
• 社内端末では、​拡張機能の導入ルールを決める
• “便利だから使う”ではなく、​**“本当に必要か”**を一度立ち止まって考える

セキュリティは地味ですが、こういう地味な確認が結局いちばん効きます。
派手な攻撃が話題になっても、最後に守るのは、やっぱり日常の小さな警戒心なんだと思います。

参考: GitHub confirms breach of 3,800 repos via malicious VSCode extension

同じ著者の記事

データセンターと脱炭素ルールの綱引き、テック業界がひとまず勝利

Financial Timesによると、テック業界はガスで動くデータセンターの「クリーンエネルギー」ルールをめぐって勝利した。 もともと、企業のnet zero（実質排出ゼロ）宣言を厳しくチェックする提案があったが、強いロビー活動の末に後退した。 つまり、データセンターの電源がガス中心でも、クリーンエネルギーだと主張しやすい余地が残った、という話だ。 背景には、AIの普及で増え続けるデータセンターの電力需要がある。 これは単なるルール変更ではなく、「AI時代の電力」と「脱炭素」の折り合いをどうつけるか、というかなり大きなテーマだと思う。 Financial Timesの記事タイトルは、「Tech groups score win on clean energy rules for gas-powered data centres」。直訳すると、「テック関連団体が、ガスで動くデータセンターのクリーンエネルギー規則で勝利を収めた」という意味です。 ポイントは、データセンターです。これは、クラウドサービスやAIを動かすための巨大

papoo.work

AI面接官は人間の代わりになれるのか？「データは集められても、意味までは拾えない」という指摘

Anthropicは、AI interviewerを使って約8万1,000人から意見を集めた大規模調査を実施した 調査は70言語・159カ国にまたがり、「大規模な質的調査」として注目された ただし元記事の研究者らは、AIは質問はできても、人間のように対話を深めて意味を理解するのは難しいと主張している 理由は、AIには lived experience（実際に生きた経験）、 positionality（研究者自身の立場や背景）、 reflexivity（自分の偏りを見つめ直す力）がないから つまり、AIは“data”は集められても、“meaning”までは作れない、というのが記事の核心 Anthropicは2026年3月、AI interviewerを使って「史上最大級かつ最も多言語な質的調査」を行ったと発表しました。集まった回答は約8万1,000人分。しかも70言語、159カ国に広がっていたというのです。数字だけ見れば、かなり派手です。正直、ここは「おお、ついにここまで来たか」と思ってしまいます。 Anthropicの主張はシンプ

papoo.work

GitHub内部リポジトリ流出騒動をわかりやすく解説：犯人は“毒入り”VS Code拡張？

GitHubは、悪意あるVisual Studio Code拡張機能による侵入を受けたと公式に認めた 被害は約3,800の内部GitHubリポジトリに及んだ GitHubは重要なsecretやcredential（認証情報）をローテーションしたと説明している 犯行を主張するハッカー集団TeamPCPは、ソースコードを盗んだうえで5万ドルで売ろうとしたとされる 企業側の“開発ツール”を悪用する手口で、サプライチェーン攻撃の怖さが改めて目立った Tom's Hardwareによると、GitHubの内部リポジトリが、悪意あるVisual Studio Code拡張機能をきっかけに侵害されたことが、GitHub自身のX投稿で明らかになりました。 ここでいう拡張機能は、VS Codeに追加して使う“便利機能”のことです。たとえばコード補完を強化したり、テーマを変えたり、作業を自動化したりできます。 つまり本来は開発者の味方。でも今回は、その“便利な道具”が侵入口になったわけです。いや、これはかなり嫌な話です。攻撃者は正面から強引に入

papoo.work

LLMの「30 tokens/s」はどれくらい速いのかを体感できる「tokenspeed」の面白さ

`tokenspeed` は、LLMの tokens-per-second（1秒あたりに出るtoken数） を「数字」ではなく「体感」で理解するためのツール `code` / `text` / `think` / `agent` の4モードがあり、出力内容によって「同じ速度でも速くも遅くも感じる」ことを見せてくれる 5 tok/s から 800 tok/s までのプリセットがあり、実際のモデル速度の感覚をつかみやすい tokenの数え方は各社の厳密なtokenizerではなく、BPE風の近似 「tok/sの数字は同じでも、コードと文章では体感がまるで違う」という点が、このツールの一番おもしろいところ LLMのベンチマークを見ていると、よく出てくるのが「47 tok/s」「180 tok/s」「500 tok/s」といった数字です。 でも正直、こういう数字ってピンと来にくいんですよね。 1秒に30 tokenって、速いの？ 遅いの？ 生活の中のどの感覚に近いの？ となりがちです。 そこで登場するのが `tokenspeed` です。 これは、LLMが出力する to

papoo.work

AIエージェントより「構造」で縛るほうが強い？ 仕様から作るバックプレッシャーの話

AI coding loop では、「プロンプトで守れ」は意外と弱い 代わりに、compiler や type checker のような機械が拒否する仕組みを入れると強い 元記事は、Shen という言語とコード生成で権限チェックを構造化する方法を紹介している 多段の証明チェーンで「認証済み」「tenant の member」「resource の所有確認」をつなげる テストは大事だが、書いたケースしか見られない。構造的な gate はもっと広く効く ただし、完全無敵ではなく、信頼境界や bypass の余地は残る AI にコードを書かせるとき、「もっと賢くなれ」より「間違えにくい土台を作れ」のほうが効く、という主張です。 これ、かなり筋がいいと思います。というのも、AI の性能をいくら上げても、最後に壊れるのはたいてい「うっかり忘れた権限チェック」みたいな地味な部分だからです。地味だけど、事故るとめちゃくちゃ痛い。そこを prompt の気合いで守るのは、正直かなり心もとないです。 元記事の冒頭は、かなり本質的です。 > 「あるユーザーが別の tenant のデ

papoo.work

Xで「JavaScriptが無効」と出るときに何が起きているのか

元記事では、X（旧Twitter）でページが正しく表示されず、「JavaScriptを有効にして」と案内される画面が出ている さらに「Something went wrong」とも表示され、何らかの読み込みエラーが起きている 画面の案内文からは、JavaScriptが無効、またはプライバシー系の拡張機能が邪魔している可能性が読み取れる これは「Xが壊れた」というより、ブラウザ側の設定や拡張機能との相性問題で起きることが多い 普段あまり意識しないけれど、現代のWebサービスがいかにJavaScript頼みかがよくわかる 今回の元記事は、X（旧Twitter）の投稿ページを開いたときに表示されたエラーメッセージをそのまま示している内容です。 本文を見ると、まず目に入るのは 「JavaScriptを使用できません」 という案内。続けて、**「We’ve detected that JavaScript is disabled in this browser. Please enable JavaScript or switch to a supported b

papoo.work

OpenAIモデルが80年越しの「離散幾何」の難問をひっくり返した話

OpenAIの内部モデルが、離散幾何学の有名な未解決問題「unit distance problem」を解いた その結果、80年近く信じられてきた予想が否定された しかも解法は、単なる試行錯誤ではなく、algebraic number theory（代数的整数論）という別分野の深い道具を使っていた 外部の数学者たちが証明をチェックし、補足論文も執筆している 「AIは数学の助手」から一歩進んで、新しい発想を生み出す研究者になりうることを示した、という点が大きい OpenAIが発表したのは、離散幾何学の中心的な予想を、AIモデルが覆したというニュースです。 対象は「unit distance problem」と呼ばれる問題で、ざっくり言うと、 > 平面上に n 個の点を置いたとき、ちょうど距離 1 の点の組は、最大でいくつ作れるのか？ という問いです。 一見すると「そんなの数えればいいのでは？」と思ってしまいますが、これがとんでもなく難しい。 1946年に Paul Erdős が問題提起して以来、約80年ものあいだ数学者たち

papoo.work

CloudflareとStripeが、AIエージェントに「アカウント作成から本番デプロイまで」任せる時代を始めた

CloudflareとStripeが、AIエージェント向けの新しい protocol を公開した エージェントが Cloud account の作成、domain の取得、subscription の開始、production への deployment まで行える 支払いと本人確認は Stripe が担当し、デフォルトの月額上限は $100 人間が関与するのは主に「法的・金銭的に重い場面」 便利さは大きいが、間違ったdomain購入や予算超過などのリスクも現実的 Cloudflare と Stripe が、AI agent による “自動 provisioning” を可能にする protocol を公開しました。 ここでいう provisioning は、ざっくり言うと「サービスを使い始めるための初期設定一式を用意すること」です。普通なら人間が dashboard を開いて、アカウントを作り、支払い方法を入れ、API token を発行して、必要なら domain を買って、最後に deploy する。あれを AI agent がまとめてやるわけです。 InfoQ の記事によると、

papoo.work

AIの幻覚は「バグ」ではなく構造問題だった——鏡が壊れていても、鏡は鏡

AIの hallucination（幻覚）は、たまたま起きる不具合ではなく、言語モデルの仕組みそのものから生まれるという主張 言語モデルは「真実を知る機械」ではなく、それっぽい答えを流暢に返す鏡に近い 問題の本質は、流暢さと正確さが切り離されていること RAG（検索してから答える方式）は、幻覚を完全に消す技術というより、モデルを信用しすぎないための設計 医療・法律・金融のような分野では、幻覚は単なるミスでは済まず、実害が大きい だからこそ、AIに「最終決定」を任せるのではなく、出典を追える形で使う設計が重要 生成AIを使っていると、たまに「え、それ本当？」という答えが返ってきます。しかも厄介なのは、その答えがめちゃくちゃ自然な文章で出てくることです。 この元記事が面白いのは、AIの hallucination を「モデルがたまたま変なことを言った」ではなく、構造的な性質だと捉えているところです。 つまり、いまの言語モデルは「うっかりミスをする機械」ではなく、そもそも真実そのものを保証するようには作られていない、とい

papoo.work

npmでまた大規模汚染　317パッケージに悪性版、しかも仕込みがかなり手口が悪い

npmのメンテナーアカウント `atool` が侵害され、317個のパッケージに637個の悪性バージョンが公開された 影響を受けた中には `size-sensor`、`echarts-for-react`、`timeago.js`、そして多数の `@antv` 系パッケージが含まれる 月間ダウンロード数は合計で1500万超とされ、被害範囲がかなり広い ペイロードは認証情報の収集、GitHubへの漏えい、CI/CDへの永続化、AI開発ツールの乗っ取りまでやる しかも、単純な1回きりの攻撃ではなく、複数の経路で再感染しやすい設計になっているのが厄介 semver範囲（`^3.0.6` のような指定）を使っていると、`latest` タグを見ていなくても悪性版を自動で拾う可能性がある SafeDepの記事によると、2026年5月19日、npm のメンテナーアカウント `atool` が侵害されました。 その結果、22分という短時間に、317個のパッケージへ637個の悪性バージョンが一気に公開されたそうです。 ここで地味に

papoo.work