要注意！悪意あるVSCode拡張機能からGitHubの3,800リポジトリが流出

関連する以前のトピック: GitHubが自社の内部リポジトリへの不正アクセスについて調査中 - https://news.ycombinator.com/item?id=48201316 (2026年5月、コメント数321件)

前回のスレッドはこちら：

GitHubが内部リポジトリへの不正アクセスを調査中 - https://news.ycombinator.com/item?id=48201316 (https://news.ycombinator.com/item?id=48201316) - 2026年5月 (321件のコメント)

何かものすごく単純なことを見落としてるかもしれないけど…3,800個のリポジトリ？そんなにたくさんあったことに正直びっくりしてる！

言っておくと、VS CodeはElectronベースで構築されていて、サンドボックス化がかなり面倒なんだよね。Electronには（以前は？）SUIDサンドボックスヘルパーがあって、サンドボックス内でSUIDバイナリを実行するのが簡単じゃないから。Linuxでのサンドボックス化はとにかく極めて難しいタスクだよ。

これをきっかけにMicrosoftがVS Codeの拡張機能に明示的な権限システムを追加して、Dev Containersのセキュリティを強化してくれることを本当に願ってる。

もしVSCodeの運営会社とNPMの運営会社、それにGitHubの運営会社が協力して、この問題の解決策を見つけ出してくれさえすればなあ。

昨日やられたNx Consoleの拡張機能がこれだったのかな。タイミングが完全に一致する気がする。これ見てみて： https://github.com/nrwl/nx-console/security/advisories/GHSA-... (https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w)

ハッカーがこれだけのことをやるのに十分な稼働時間を確保できたことのほうが驚きだよ。

VS Codeの拡張機能は前々からずっと恐ろしい存在だよ。あまりに無防備で明らかな攻撃ベクトルだしね。特定のファイルタイプを検知するたびに「拡張機能をインストールしろ」ってVS Codeのポップアップが出るけど、その拡張機能が企業製なのか個人の趣味開発なのか五分五分だ。何百万もインストールされていて、一見すると公式企業の拡張機能に見えるやつもあるし。今はもう公式企業が管理しているものしか入れないようにしてるけど、それでも騙されていないか確信が持てないレベル。ひどい現状だよ。

GitHubでプライベートリポジトリをホストしている企業にとっては重大な影響があるね。攻撃者にソースコードが見られていたら大きなセキュリティ脅威だし。せめてGitHubは、自分たちのリポジトリが今回のハッキングの対象だったのかどうかをユーザーに通知すべきだ。それが最も責任ある対応だと思うよ。

いいことだ。自社で開発したものを自社で使い倒す（ドッグフーディング）ってのはこういうことさ。