FINRA 就 GitHub 安全事件發布網絡警報

美國金融業監管局（FINRA）近日就 GitHub 的一起安全事件發布網絡警報，提醒使用 GitHub 云存儲庫產品的機構注意潛在風險。

這起事件的起因是攻擊者利用社交工程手段，誘導 GitHub 一名員工安裝了一個惡意 VS Code 擴展插件。2026 年 5 月 20 日，GitHub 正式確認發生數據泄露，約 3,800 個內部存儲庫受到影響。實施此次攻擊的威脅組織名為 TeamPCP，已宣稱對事件負責。

GitHub 存儲庫中往往包含源代碼、系統配置、安全憑證等敏感信息，以及可能被攻擊者用于后續攻擊的技術細節。因此，FINRA 認為相關企業需提高警惕。

針對此次事件，GitHub 方面表示：

目前沒有證據表明客戶的存儲庫受到影響；

GitHub 正在持續監控其基礎設施，防范任何進一步的惡意活動；

一旦發現任何客戶受影響的證據，將第一時間通知相關方。

FINRA 強烈建議使用 GitHub 的成員公司采取以下措施：

加強對本公司 GitHub 賬戶活動的監控；

考慮部署補償性控制措施和縱深防御策略，以降低潛在風險；

密切關注 GitHub 的官方通報，及時獲取最新信息；

一旦發現可疑活動，立即向內部安全團隊報告。

FINRA 在警報中評論稱："這起事件再次表明，社交工程攻擊足以攻陷包括供應鏈在內的可信平臺。各公司應從技術和人為兩個維度審視自身安全配置、驗證流程及員工安全培訓，彌補潛在漏洞。

同時，企業還應重新評估供應商風險管理計劃，確保已建立針對第三方安全事件的響應機制，包括與云平臺配置及第三方服務管理相關的政策、流程與控制措施。"