Githubの中の人がVS Codeの拡張機能経由で侵入されて、Github社自身のソースコードを持ち出されたってことね。こんなの博打に近いけど、攻撃者はウルトラA引いたって狂喜乱舞やろな。。。踏み台にされた人は迂闊やなぁ。
GitHub自身が漏洩してるし、AnthropicもClaude Codeのソースコードうっかり公開してるのだから、マネーフォワードを責められないというか、天才Linusがコードをシェアするために作ったものを、隠す用途で使い続けるの間違い
VS Codeの悪意ある拡張機能が原因とかエンジニア全員に刺さる話だな
もうインターネットに繋げませんね。Faxと電話に戻りましょう
GitHubが内部リポジトリ不正アクセスを調査。poisoned VS Code拡張で従業員端末侵害を検知・封じ込め、シークレットをローテーション。
悪意あるライブラリの配布話も話題になってたけど、本家が汚染されてたら根本から信じられなくなる。
社用PCでのVSCode機能拡張への取締り始まりそうだな……
もうめちゃくちゃだよぉ
GitHubが内部リポジトリへの不正アクセスを調査。従業員端末が不正VS Code拡張で侵害され、約3800件という攻撃者の主張は調査と概ね整合。顧客情報への影響は現時点で確認なし。
これから半年くらいは「せめてコロナ県内感染者第1号にはならないようにしよう」みたいな世界で、流出が当たり前になってニュースにならなくなるまで耐え凌ぐゲームになってきてる。
この間のVercelの侵害も拡張機能から入られたのでもう何も信用できないな。
Git以前にもCVSあったし、SVNは現役でクラウドサービスあるし、これはGit固有の問題ではなく、認証突破がしやすい場所にソースコード履歴を置くことの是非論になると思う
インターネットはオワコン
ブラウザもだけど、拡張機能のオープンなマーケットプレイスというモデルがもう限界に来ている気はする
オープンソースなんだからスタッフの端末もオープンソースなのか
おわりやね
従業員の端末が侵害されると大変よね・・・GitHubとかもうインフラだし🙄
大変だ
“不正なVS Code拡張機能によって従業員端末が侵害された”
拡張機能なんでもできちゃうからなぁ
[速報]GitHub、内部リポジトリへの不正アクセスを調査 従業員端末の侵害を確認 | gihyo.jp
Githubの中の人がVS Codeの拡張機能経由で侵入されて、Github社自身のソースコードを持ち出されたってことね。こんなの博打に近いけど、攻撃者はウルトラA引いたって狂喜乱舞やろな。。。踏み台にされた人は迂闊やなぁ。
GitHub自身が漏洩してるし、AnthropicもClaude Codeのソースコードうっかり公開してるのだから、マネーフォワードを責められないというか、天才Linusがコードをシェアするために作ったものを、隠す用途で使い続けるの間違い
VS Codeの悪意ある拡張機能が原因とかエンジニア全員に刺さる話だな
もうインターネットに繋げませんね。Faxと電話に戻りましょう
GitHubが内部リポジトリ不正アクセスを調査。poisoned VS Code拡張で従業員端末侵害を検知・封じ込め、シークレットをローテーション。
悪意あるライブラリの配布話も話題になってたけど、本家が汚染されてたら根本から信じられなくなる。
社用PCでのVSCode機能拡張への取締り始まりそうだな……
もうめちゃくちゃだよぉ
GitHubが内部リポジトリへの不正アクセスを調査。従業員端末が不正VS Code拡張で侵害され、約3800件という攻撃者の主張は調査と概ね整合。顧客情報への影響は現時点で確認なし。
これから半年くらいは「せめてコロナ県内感染者第1号にはならないようにしよう」みたいな世界で、流出が当たり前になってニュースにならなくなるまで耐え凌ぐゲームになってきてる。
この間のVercelの侵害も拡張機能から入られたのでもう何も信用できないな。
Git以前にもCVSあったし、SVNは現役でクラウドサービスあるし、これはGit固有の問題ではなく、認証突破がしやすい場所にソースコード履歴を置くことの是非論になると思う
インターネットはオワコン
ブラウザもだけど、拡張機能のオープンなマーケットプレイスというモデルがもう限界に来ている気はする
オープンソースなんだからスタッフの端末もオープンソースなのか
おわりやね
従業員の端末が侵害されると大変よね・・・GitHubとかもうインフラだし🙄
大変だ
“不正なVS Code拡張機能によって従業員端末が侵害された”
拡張機能なんでもできちゃうからなぁ