供應鏈攻擊連環爆!GitHub、Nx Console、Drupal 相繼出事|2026年5月資訊保安快報
2026年5月,多宗供應鏈攻擊事件接連震動資訊保安界,供應鏈攻擊事件,由 GitHub 內部資料外洩、VS Code 開發工具被植入木馬,到 Drupal 緊急安全更新,全部都值得 IT 人高度關注。以下逐一分析。
👉 延伸閱讀:Palo Alto PAN-OS 漏洞遭大規模利用 企業修復攻略一文睇晒
供應鏈攻擊:GitHub 遭 TeamPCP 入侵:約 4,000 個內部 Repo 被竊
講到供應鏈攻擊,5月19日,GitHub 官方確認正調查一宗由著名黑客組織 **TeamPCP** 聲稱發動嘅入侵事件。TeamPCP 喺 BreachForums 公開宣稱已經成功竊取 GitHub 約 4,000 個內部 repository,並展示咗部分截圖作為證據。
講到供應鏈攻擊,GitHub 首席安全官表示:「我哋正與外部 forensic 團隊合作全面調查,目前未有證據顯示用戶數據或私有 repository 受到影響。被竊取嘅似乎係內部工程工具同文檔。」
講到供應鏈攻擊,但業界普遍擔憂,GitHub 內部 repository 若包含 CI/CD pipeline 配置、deployment script、甚至 signing key,後果可能遠比表面嚴重。GitHub 係全球最大嘅程式碼託管平台,超過 1 億開發者使用,GitHub Actions 每月執行超過 30 億次 workflow。一旦內部 pipeline 被滲透,影響範圍難以估計。
供應鏈攻擊:Nx Console 18.95.0 被植入 Credential Stealer
另一單更貼身嘅威脅:Nx Console(VS Code 上面極受歡迎嘅 monorepo 管理 extension,下載量超過 200 萬)被發現版本 18.95.0 遭惡意篡改,內含 credential stealer。 供應鏈攻擊 係呢個領域最重要嘅考量之一。
安全研究員分析發現,惡意版本會收集以下資料:
& #8211; VS Code 儲存嘅 GitHub tokens
& #8211; SSH private keys(~/.ssh/ 目錄)
& #8211; AWS credential files
& #8211; 環境變數中嘅 API keys 供應鏈攻擊 係呢個領域最重要嘅考量之一。
呢個係典型嘅 **供應鏈攻擊** — attacker 唔係直接攻擊 end user,而係攻擊開發工具供應鏈,透過 compromised extension 一次過感染大量開發者。Nx 團隊已緊急下架受影響版本並發布 18.95.1 修補版。
如果你有用 Nx Console,即刻檢查版本同 rotate 所有 token: 供應鏈攻擊 係呢個領域最重要嘅考量之一。
code --list-extensions --show-versions | grep nx-console
# 如果見到 18.95.0 → 立即更新!供應鏈攻擊:Drupal 緊急安全更新 5月20日
Drupal 官方罕有地提前發出預警,表示將喺 5 月 20 日(即今日)發布「核心安全更新」,影響所有仍在支援嘅 Drupal 版本分支。雖然官方未有透露 CVE 詳情,但業界估計可能涉及 remote code execution(RCE)或 SQL injection 級別漏洞。 供應鏈攻擊 係呢個領域最重要嘅考量之一。
Drupal 目前全球有大約 1.2% 網站使用(約 100 萬個網站),當中不乏政府機構、大學、NGO 及 Fortune 500 企業。 供應鏈攻擊 係呢個領域最重要嘅考量之一。
Drupal 網站管理員應該:
1. 即刻訂閱 Drupal Security Advisory mailing list
2. 準備好 maintenance window
3. 一有更新就即刻 apply,唔好拖! 供應鏈攻擊 係呢個領域最重要嘅考量之一。
GitHub Actions 供應鏈攻擊新手法
另一宗令業界震驚嘅供應鏈攻擊:攻擊者成功篡改一個熱門 GitHub Action `actions/checkout` 嘅 Git tag,將 official tag 指向 malicious commit。當開發者嘅 CI/CD pipeline 執行 `uses: actions/checkout@v4`,實際上 run 咗 attacker 嘅 code。
呢種攻擊手法極之狡猾 — developer 望落個 workflow file 完全正常,冇任何 suspicious URL,但背後執行嘅係 malicious code。研究人員警告,呢類 Git tag hijacking 可能成為 2026 年最主流嘅供應鏈攻擊手法。
供應鏈攻擊點解愈來愈多?
今個月爆出嘅四單事件有個共通點:全部都係供應鏈攻擊。攻擊者已經由直接攻擊企業 infrastructure,轉向攻擊軟件供應鏈中最脆弱嘅一環 — 開發工具、open source library、CI/CD pipeline。
根據 Gartner 預測,到 2025 年全球 45% 嘅組織將會遭受軟件供應鏈攻擊,比 2022 年上升 3 倍。呢個數字喺 2026 年只會更高。
**防禦建議:**
& #8211; 所有 GitHub Actions 必須 pin 到 commit SHA,唔好用 tag
& #8211; 定期 audit VS Code extensions
& #8211; CI/CD pipeline 行喺 isolated environment
& #8211; 所有 third-party dependency 做定期 vulnerability scan
& #8211; 建立 software bill of materials(SBOM) 供應鏈攻擊 係呢個領域最重要嘅考量之一。
🔗 參考資料:NVD NIST 漏洞資料庫
呢個月嘅事件再次證明:供應鏈攻擊唔係遙遠嘅威脅,而係每日都喺發生嘅現實。各位 IT 人,Stay vigilant!🔒
GitHub #供應鏈攻擊 #資安 #NxConsole #Drupal #TeamPCP #Cybersecurity #SupplyChainAttack
📌 延伸閱讀:
供應鏈攻擊 一直係 IT 界熱門話題。無論你係新手定老手,了解供應鏈攻擊最新發展、掌握供應鏈攻擊相關實戰技巧,都能夠令你喺職場上更有競爭力。供應鏈攻擊嘅重要性只會愈來愈大,及早裝備自己係最佳策略。
