Binance 創業者、GitHubの内部リポジトリが漏洩したことを受け、開発者に対しAPIキーのローテーションを警告

CryptopolitanMay 20, 2026 10:32 AM

すべてのコメントを見る（0）



GitHubは5月20日、ハッカーが社内リポジトリに不正アクセスしたことを公表し、Changpeng Zhao氏は開発者に対し、コード内のAPIキーを直ちに確認し、必要に応じて更新するよう求めた。このdent 、侵害された従業員のデバイスにインストールされた悪意のあるVisual Studio Code拡張機能が原因だった。.

GitHubは5月19日、GitHubの内部リポジトリへの不正アクセスを検知しました。これを受け、プラットフォームは直ちに悪意のある拡張機能バージョンを削除し、エンドポイントを隔離しました。.

マイクロソフト傘下のプラットフォームは、内部リポジトリへの不正アクセスについて調査中であり、ユーザーリポジトリ、企業アカウント、またはこれらの内部システム外に保存されているその他の顧客データが影響を受けたという証拠は今のところ見つかっていないと述べている。.

コードホスティングプラットフォーム側は、調査はまだ進行中であるものの、状況を注意深く見守っていると述べた。.

GitHubはX上で、今回の調査の結果、今回の活動はGitHub内部リポジトリからの情報流出のみに関わるものであったと発表した。また、調査結果は攻撃者が主張する約3,800のリポジトリへのアクセスと一致していると付け加えた。.

このコードホスティングプラットフォームは、重要な機密情報を夜間や当日中にローテーションすることでリスクを軽減し、最も機密性の高いdent情報を優先的にローテーションしていると述べた。.

同プラットフォームは、調査の進展に伴い、さらなる措置を講じる予定であり、現在もログの分析、秘密ローテーション手順の有効性の確認、および後続活動の可能性の監視を継続していると付け加えた。また、調査完了後には、より包括的な報告書を公開する予定であると述べた。.

GitHubの侵害はUNC6780サプライチェーン攻撃によるものと判明

1/ GitHubの内部リポジトリへの不正アクセスに関する調査の詳細をお知らせします。

昨日、従業員のデバイスが、悪意のあるVS Code拡張機能によって侵害されたことを検知し、封じ込めました。悪意のある拡張機能のバージョンを削除しました。…
— GitHub (@github) 2026年5月20日

GitHubの内部システムへの侵入は、TeamPCPという偽名を使用する攻撃者によるものとされている。このグループは、主張している。報道によると、販売価格は5万ドルを超えている。

攻撃者によると、盗まれたコンテンツの中には、GitHubの中核インフラに接続された約4,000のプライベートリポジトリが含まれているという。彼らは、この主張を裏付けるために、多数のリポジトリアーカイブ名を示すファイルインデックスとスクリーンショットを配布したとされる。また、真剣な購入者には、本物であることを証明するサンプルを提供することも可能だと述べている。.

Google脅威インテリジェンスグループは、TeamPCPをUNC6780としてdentしました。これは、 tracチェーン侵害の実績を持つ、金銭目的の攻撃者です。同グループは、TeamPCPが一貫してCI/CD環境や開発者ツールを標的にしており、特権トークンや自動化認証情報を通じてより高度なシステムアクセスが可能になっているとdentた。.

このグループは、2026年初頭にCVE-2026-33634を介したTrivy Vulnerability Scannerの悪用に関連していた。この悪用はCiscoを含む1,000社以上の企業に影響を与えた。また、ソフトウェア配信パイプラインにおけるdent情報の窃盗を目的としたLiteLLMおよびCheckmarxを標的とした攻撃キャンペーンにも関与していた。.

暗号通貨APIはサプライチェーンリスクの増大に直面している

GitHubへのハッキング事件と Changpeng Zhao氏の警告、開発者ツールやサードパーティの統合に大きく依存する暗号通貨APIのエコシステムは、より厳しい監視下に置かれるようになった。

今回のGitHubへのハッキング事件は、特にコードリポジトリにAPIキー、自動化トークン、CI/CDdent情報が含まれている、あるいは処理されている場合、コア開発環境が侵害されると現代の暗号資産インフラがいかに脆弱になるかを浮き彫りにしました。このような構成では、これらの接続に依存する複数の取引、保管、データサービスが、単一のサプライチェーン侵入によって影響を受ける可能性があります。.

Cryptopolitan 2026年3月26日、トレーディングボット、 DeFi 分析ダッシュボード、ポートフォリオトラッカーなど trac。また、同レポートは指摘している、徹底的で正確かつ低遅延の情報を提供することが、開発を阻害するのではなく促進するとも

取引、分析、ブロックチェーン接続を容易にするAPIインフラストラクチャプロバイダーは、業界からますます注目をtracている。Cryptopolitan Cryptopolitan 、CoinStats API、CoinGecko API、CoinMarketCap API、CCData（CryptoCompare）、CoinAPI、Kaiko、Glassnode、Covalent、Alchemy、Infura、QuickNode、Bitqueryなどのプラットフォームが、取引所、フィンテックアプリ、ブロックチェーンサービスが、成長を支え、リアルタイムのデータフローを実現するために標準化されたAPIに依存している様子を示していると報じた。.

この記事を読んでいるあなたは、既に一歩先を行っています。ニュースレターを購読して、その優位性を維持しましょう。

免責事項：本サイトで提供する情報は教育・情報提供を目的としたものであり、金融・投資アドバイスとして解釈されるべきではありません。