GitHub、悪意のあるVS Code拡張機能で内部リポジトリ約3800個のデータ流出

　ソフトウェア開発プラットフォーム「GitHub」を運営する米GitHubは5月20日（現地時間）、5月18日に発生したデータの流出について、ブログを更新した。

　GitHubの発表によると、流出が確認されたデータは、GitHubの内部リポジトリ（自社内部のリポジトリであり、サービスのリポジトリではない）のデータ。攻撃者は約3800個のリポジトリのデータを窃取したと主張しているが、これは、同社の調査結果とも概ね一致しているという。内部リポジトリ以外に保存されている顧客情報への影響は確認されていないが、サポート対応の記録など、一部の顧客情報が含まれている可能性があるとしている。

　流出の確認後、同社では重要な機密情報の更新を行い、影響が最も大きい認証情報から優先的に変更を完了させている。

　今回のデータ流出の原因について同社は、従業員のデバイスにVisual Studio Codeの拡張機能「Nx Console」の悪意のあるバージョンがインストールされたためだと説明している。同拡張機能は、攻撃者によって認証情報を窃取する機能が組み込まれたバージョンが公開されており、 Visual Studio Marketplace上で約18分間にわたり、ダウンロード可能な状態になっていた。

　同社は現在も調査を進めており、完了次第、より詳細な報告書を公表するとしている。