#vscode

GitHubは、悪意あるVisual Studio Code拡張機能による侵入を受けたと公式に認めた 被害は約3,800の内部GitHubリポジトリに及んだ GitHubは重要なsecretやcredential（認証情報）をローテーションしたと説明している 犯行を主張するハッカー集団TeamPCPは、ソースコードを盗んだうえで5万ドルで売ろうとしたとされる 企業側の“開発ツール”を悪用する手口で、サプライチェーン攻撃の怖さが改めて目立った Tom's Hardwareによると、GitHubの内部リポジトリが、悪意あるVisual Studio Code拡張機能をきっかけに侵害されたことが、GitHub自身のX投稿で明らかになりました。 ここでいう拡張機能は、VS Codeに追加して使う“便利機能”のことです。たとえばコード補完を強化したり、テーマを変えたり、作業を自動化したりできます。 つまり本来は開発者の味方。でも今回は、その“便利な道具”が侵入口になったわけです。いや、これはかなり嫌な話です。攻撃者は正面から強引に入

GitHubは、社員の端末に悪意あるVS Code拡張機能が入ったことで、内部リポジトリが漏えいしたと認めた 影響を受けたのは顧客データではなく、GitHub内部のリポジトリだと説明している 攻撃者側は約4,000リポジトリの窃取を主張しており、GitHubの調査結果とかなり近い この事件は、開発者向けツールの“便利さ”がそのまま攻撃面にもなることを改めて示した VS Code拡張機能を悪用する手口は珍しくなく、過去にも似た事例が何度も起きている GitHubが、約3,800の内部リポジトリが侵害されたと確認しました。きっかけは、同社の社員が悪意あるVS Code拡張機能をインストールしてしまったことです。 VS Codeとは、Microsoftの人気コードエディタ「Visual Studio Code」のこと。 そして拡張機能は、エディタに機能を足すためのプラグインです。たとえばコード補完を強化したり、特定のクラウドサービスとつないだりできます。便利な反面、ここに“毒入り”が混ざると厄介です。かなり厄介です。 GitHubはこの