GitHub: Interne Repositories durch bösartige VS Code-Erweiterung gestohlen
news
trending_up Trend: news

GitHub: Interne Repositories durch bösartige VS Code-Erweiterung gestohlen

calendar_month 4. Juni 2026

Zusammenfassung

GitHub hat einen Sicherheitsvorfall bestätigt, bei dem etwa 3.800 bis 4.000 interne Code-Repositories exfiltriert wurden. Auslöser war eine manipulierte Visual Studio Code (VS Code) Erweiterung, die ein Mitarbeiter auf seinem Arbeitsgerät installiert hatte. Die Hackergruppe „TeamPCP“ bietet die gestohlenen Daten derzeit im Dark Web zum Verkauf an.

Was ist passiert?

Ein GitHub-Mitarbeiter installierte versehentlich eine bösartige VS Code-Erweiterung, die als Credential-Stealer fungierte. Dadurch verschafften sich die Angreifer Zugriff auf die interne Umgebung von GitHub und konnten eine große Anzahl interner Code-Repositories herunterladen. Nach der Entdeckung isolierte GitHub das betroffene Gerät, leitete eine Untersuchung ein und rotierte alle potenziell betroffenen Secrets und Zugangsdaten, um weiteren Missbrauch zu verhindern.

Warum es wichtig ist

Dieser Vorfall verdeutlicht die wachsende Gefahr von Supply-Chain-Angriffen auf Entwickler-Tools. Als weltweit führende Plattform für Open-Source-Software wirft eine Kompromittierung der eigenen Infrastruktur von GitHub ernsthafte Fragen zur Sicherheit des gesamten Ökosystems auf. Zudem ist „TeamPCP“ eine bekannte Bedrohungsgruppe, die sich auf Angriffe auf CI/CD-Pipelines und Entwickler-Credentials spezialisiert hat, was auf systematische Bemühungen hindeutet, die Software-Integrität an der Quelle zu kompromittieren.

Beweise

GitHub hat den Vorfall offiziell über eine Erklärung auf X (ehemals Twitter) bestätigt. Zusätzlich veröffentlichte TeamPCP Stichproben der gestohlenen Repositories in Dark-Web-Foren, um die Echtheit ihrer Behauptungen zu untermauern. GitHub räumte ein, dass das Ausmaß des von den Angreifern gemeldeten Datenverlusts mit den eigenen internen Untersuchungsergebnissen „übereinstimmt“.

Analyse

Die Nutzung von IDE-Erweiterungen als Trojaner ist ein zunehmend effektiver Angriffsvektor. Entwickler-Workstations verfügen oft über erhöhte Berechtigungen und Zugriff auf sensible Umgebungen, was sie zu idealen Zielen für die Umgehung herkömmlicher Netzwerksicherheitsmaßnahmen macht. Dieser Vorfall unterstreicht die Notwendigkeit strengerer Kontrollen für die in Entwicklungsumgebungen verwendeten Tools und Erweiterungen.

Praktische Erkenntnisse

  • Überprüfung von Erweiterungen: Unternehmen sollten Richtlinien zur Überprüfung und Genehmigung von IDE-Plugins und -Erweiterungen einführen, bevor diese von Entwicklern installiert werden.
  • Endpunktsicherheit: Robuste Endpoint Detection and Response (EDR)-Systeme sind entscheidend, um anomale Aktivitäten auf Entwickler-Workstations zu identifizieren.
  • Rotation von Zugangsdaten: Die sofortige Rotation von Secrets und API-Schlüsseln bleibt die effektivste Methode, um den Schaden nach einem Einbruch zu begrenzen.

Offene Fragen

  • Welche spezifischen Projekte oder sensiblen Algorithmen waren in den gestohlenen Repositories enthalten?
  • Inwieweit waren Kundendaten oder Produktionssysteme betroffen, falls überhaupt?
  • Werden die Angreifer ihre Drohung wahrnehmen, die Daten kostenlos zu veröffentlichen, falls ihre Lösegeldforderung nicht erfüllt wird?

Quellen

  1. GitHub confirms breach — thousands of internal repositories hit
  2. Hackers Steal 3,800 GitHub Repos Through Fake VS Code Extension