GitHub 官方證實內部倉庫遭未授權存取、加密圈警戒，開發者批：GitHub 不再可靠，每天都有東西壞掉

GitHub 今早正式承認內部倉庫遭未授權存取，但強調目前無客戶資料外洩證據；可資安社群警告：GitHub 基礎設施若被滲透，後果遠比單一倉庫洩漏嚴重得多。
（前情提要：小龍蝦 OpenClaw 爆紅成「駭客提款機」！官網遭畫素級複製洗劫 Web3 錢包）
（背景補充：小心 Github 上的開源 Bot！慢霧餘弦：某免費開源機器人藏後門、竊取 Solana 私鑰）

本文目錄

GitHub 於台灣時間今（20）日稍早透過官方 X 帳號（@github）發出聲明，正式承認內部倉庫遭到未授權存取，目前正在進行調查。

We are investigating unauthorized access to GitHub’s internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub’s internal repositories (such as our customers’ enterprises, organizations, and repositories), we are closely…

— GitHub (@github) May 19, 2026

GitHub 在公告中強調：「目前沒有證據顯示儲存於 GitHub 內部倉庫以外的客戶資訊（包含企業帳戶、組織及用戶倉庫）受到影響」，並表示正密切監控基礎設施以防範後續動作，若發現任何影響將透過既有事件回應管道通知客戶。

Grafana、CISA、SailPoint：一個月內連環爆

此次 GitHub 自身內部倉庫受害，並非孤立事件，而是近期連環攻擊的最新一環。

5 月 16 日，監控平台 Grafana Labs 公開確認遭遇 GitHub Token 外洩事件：攻擊者取得 Token 後下載完整程式碼庫並發出勒索要求，Grafana 選擇拒絕付款。

5 月 14 日，更震撼的案例浮出水面：美國網路安全暨基礎設施安全域性（CISA）的內部 GitHub 倉庫「Private-CISA」對外公開整整六個月，內含 844 MB 明文密碼、AWS Token 及 Entra ID SAML 憑證。連美國最高網路防禦機構都栽在 GitHub 設定疏失上，The Register 形容其中部分檔案名稱「明顯到令人難以置信」。

同月，身份安全公司 SailPoint 的 GitHub 倉庫也遭入侵，SecurityAffairs 披露該事件顯示攻擊者已將矛頭指向掌管大量憑證的資安廠商本身。

Coinbase、Bitwarden CLI 是前車之鑑

對加密貨幣業者而言，GitHub 基礎設施遭滲透的後果也早有血淋淋的前例。

2026 年 3 月，Palo Alto Networks 旗下 Unit42 揭露一起針對性供應鏈攻擊：攻擊者的第一目標正是 Coinbase 開源專案 agentkit。Coinbase 偵測並封鎖後，攻擊者轉移陣地，成功劫持廣泛使用的 GitHub Action「tj-actions/changed-files」，最終波及 23,000 個倉庫，其中 218 個實際發生 secrets 外洩。完整分析詳見 Unit42 報告。

同年 4 月至 5 月，「second-action」等 15 個熱門 GitHub Action 標籤遭竄改，指向惡意 commit，The Hacker News 也記錄了這起影響範圍廣泛的標籤劫持事件。

最直接衝擊加密用戶的是 Bitwarden CLI 事件：攻擊者透過遭入侵的 GitHub Action，在 Bitwarden CLI 2026.4.0 版本植入惡意 npm 套件，程式主動竊取 MetaMask、Phantom 及 Solana 錢包檔案。此攻擊鏈完整示範了「CI/CD 管線 → 套件管理器 → 終端用戶錢包」的三段式收割路徑。