Ngày 20/05/2026, GitHub đã thông báo về một sự cố bảo mật liên quan đến việc attacker truy cập trái phép vào các repo nội bộ của họ. Theo bài đăng chính thức trên GitHub Blog, GitHub cho biết họ đã phát hiện và xử lý sự cố từ ngày 18/05/2026, sau khi một thiết bị của nhân viên bị xâm nhập thông qua một VS Code Extension độc hại.
Theo thông tin GitHub chia sẻ, sự cố hiện được đánh giá là chỉ liên quan đến các repo nội bộ của GitHub. Attacker tuyên bố đã truy cập khoảng 3.800 repo, và con số này tương đối phù hợp với kết quả điều tra ban đầu của GitHub. GitHub cũng cho biết hiện chưa có bằng chứng cho thấy repo, tổ chức hoặc doanh nghiệp của khách hàng bị ảnh hưởng.
Sau khi phát hiện sự việc, GitHub đã gỡ phiên bản extension độc hại, cô lập thiết bị bị ảnh hưởng, thay đổi các thông tin xác thực quan trọng và tiếp tục theo dõi các hoạt động bất thường. Điều khiến mình chú ý trong sự cố này là cách attacker xâm nhập: thông qua một VS Code Extension.Với lập trình viên, VS Code Extension là thứ rất quen thuộc. Chúng ta thường cài extension để format code, hỗ trợ Git, gợi ý code, kết nối với Docker, cloud, hoặc dùng các công cụ AI hỗ trợ lập trình. Bản thân mình cũng thường xuyên sử dụng VS Code Extension vì chúng rất tiện và giúp công việc nhanh hơn.
Từ trước đến nay, mình chưa từng gặp vấn đề gì nghiêm trọng khi sử dụng các extension này. Tuy nhiên, sự cố lần này của GitHub là một lời nhắc rằng mình không nên quá chủ quan. Một extension nhìn bên ngoài có thể chỉ là một công cụ nhỏ trong trình soạn thảo code. Nhưng thực tế, nó vẫn là phần mềm bên thứ ba đang chạy trong môi trường làm việc của mình. Một số extension có thể đọc mã nguồn, đọc file trong dự án, chạy lệnh hoặc kết nối mạng. Máy của lập trình viên lại thường chứa nhiều thông tin quan trọng như mã nguồn nội bộ, file cấu hình, token, SSH key hoặc quyền truy cập vào các hệ thống nội bộ. Vì vậy, nếu một extension bị cài mã độc hoặc bị attacker chiếm quyền, hậu quả có thể không chỉ dừng lại ở một máy cá nhân.
Điều này không có nghĩa là chúng ta nên ngừng sử dụng VS Code Extension. Nhưng chúng ta nên cẩn thận hơn khi cài đặt và sử dụng chúng:
- Chỉ cài extension thật sự cần thiết.
- Ưu tiên extension từ nhà phát hành uy tín.
- Cẩn thận với extension có tên gần giống extension nổi tiếng.
- Gỡ các extension không còn sử dụng.
- Hạn chế lưu token hoặc thông tin đăng nhập quan trọng trên máy.
- Cẩn thận khi mở các dự án lạ hoặc không rõ nguồn gốc.
Tóm lại, sự cố GitHub lần này không có nghĩa là chúng ta phải ngừng sử dụng VS Code Extension. Nhưng nó là một lời nhắc rằng các công cụ lập trình cũng có thể trở thành điểm yếu bảo mật. VS Code Extension rất tiện, nhưng không nên được tin tưởng một cách mặc định. Cài ít hơn, chọn kỹ hơn và kiểm tra thường xuyên hơn là cách đơn giản để giảm rủi ro.
Mọi người có thể theo dõi tài khoản Github trên X để có thể theo dõi thêm các thông tin chi tiết hơn.
