FINRA 就 GitHub 安全事件发布网络警报

美国金融业监管局（FINRA）近日就 GitHub 的一起安全事件发布网络警报，提醒使用 GitHub 云存储库产品的机构注意潜在风险。

这起事件的起因是攻击者利用社交工程手段，诱导 GitHub 一名员工安装了一个恶意 VS Code 扩展插件。2026 年 5 月 20 日，GitHub 正式确认发生数据泄露，约 3,800 个内部存储库受到影响。实施此次攻击的威胁组织名为 TeamPCP，已宣称对事件负责。

GitHub 存储库中往往包含源代码、系统配置、安全凭证等敏感信息，以及可能被攻击者用于后续攻击的技术细节。因此，FINRA 认为相关企业需提高警惕。

针对此次事件，GitHub 方面表示：

目前没有证据表明客户的存储库受到影响；

GitHub 正在持续监控其基础设施，防范任何进一步的恶意活动；

一旦发现任何客户受影响的证据，将第一时间通知相关方。

FINRA 强烈建议使用 GitHub 的成员公司采取以下措施：

加强对本公司 GitHub 账户活动的监控；

考虑部署补偿性控制措施和纵深防御策略，以降低潜在风险；

密切关注 GitHub 的官方通报，及时获取最新信息；

一旦发现可疑活动，立即向内部安全团队报告。

FINRA 在警报中评论称："这起事件再次表明，社交工程攻击足以攻陷包括供应链在内的可信平台。各公司应从技术和人为两个维度审视自身安全配置、验证流程及员工安全培训，弥补潜在漏洞。

同时，企业还应重新评估供应商风险管理计划，确保已建立针对第三方安全事件的响应机制，包括与云平台配置及第三方服务管理相关的政策、流程与控制措施。"