GitHub‑Hack: 3.800 interne Repositories über manipulierte VS‑Code‑Extension gestohlen

Wie der Angriff ablief

Der Einstiegspunkt war eine manipulierte Erweiterung für Visual Studio Code, einen der weltweit meistgenutzten Code‑Editoren.

Ermittlungen zufolge installierte ein GitHub‑Mitarbeiter diese Erweiterung auf seinem Entwickler‑Rechner. Die Schadsoftware ermöglichte es Angreifern, das Gerät zu kompromittieren und anschließend auf interne Systeme zuzugreifen. Von dort aus konnten sie tausende interne Repositories klonen, die GitHub selbst nutzt.

GitHub erklärte, dass das Sicherheitsteam:

• den Angriff erkannt und eingedämmt hat
• die betroffene Extension aus dem VS‑Code‑Marketplace entfernt hat
• das kompromittierte Gerät isoliert hat
• eine interne Sicherheitsuntersuchung gestartet hat

Nach aktuellem Stand führte der Vorfall zur Exfiltration interner GitHub‑Repositories, nicht jedoch zu bestätigten Zugriffen auf externe Kundendaten.

Aussage von GitHub zu möglichen Kundenauswirkungen

In öffentlichen Stellungnahmen betonte GitHub, dass derzeit keine Hinweise darauf vorliegen, dass Kunden‑Repositories oder Nutzerdaten betroffen sind, die außerhalb der internen GitHub‑Systeme gespeichert werden.

Das bedeutet konkret:

• Öffentliche oder private Repositories von GitHub‑Nutzern wurden bislang nicht als kompromittiert bestätigt
• Unternehmensdaten von GitHub‑Enterprise‑Kunden gelten aktuell nicht als betroffen
• Die bekannten Auswirkungen beschränken sich auf GitHub‑internen Code

Gleichzeitig betonte das Unternehmen, dass die Untersuchung noch läuft und die Infrastruktur weiterhin auf mögliche Folgeaktivitäten überwacht wird.

Die Rolle der Hackergruppe TeamPCP

Eine Bedrohungsgruppe mit dem Namen TeamPCP reklamierte den Angriff für sich. Die Gruppe soll in einem Cybercrime‑Forum behauptet haben, Zugriff auf GitHub‑Quellcode und interne Organisationsdaten zu besitzen.

Einige Sicherheitsforscher bringen TeamPCP mit einer Bedrohungsgruppe in Verbindung, die unter der Bezeichnung UNC6780 geführt wird. Diese Zuordnung gilt jedoch noch als vorläufig und wurde von GitHub nicht offiziell bestätigt.

Berichten zufolge boten die Angreifer die gestohlenen Daten in Untergrund‑Marktplätzen für mehrere zehntausend US‑Dollar zum Verkauf an.

Warum der Angriff besonders relevant ist

Der Vorfall zeigt ein größeres Muster in der Cybersicherheit: Angreifer zielen zunehmend auf die Software‑Supply‑Chain und Entwickler‑Tools, statt direkt Produktionssysteme anzugreifen.

Zu den attraktiven Angriffszielen gehören unter anderem:

• Erweiterungen für Code‑Editoren wie VS Code
• Paket‑Ökosysteme wie npm oder PyPI
• CI/CD‑Pipelines
• Container‑Images und Entwickler‑Utilities

Wenn ein solches Werkzeug kompromittiert wird, können Angreifer potenziell Zugriff auf viele nachgelagerte Systeme erhalten, da Entwickler diesen Tools meist weitreichende Rechte einräumen.

Studien aus der Branche zeigen, dass solche Angriffe deutlich zunehmen. Analysen dokumentieren hunderttausende bösartige Open‑Source‑Pakete und koordinierte Kampagnen gegen Entwicklerumgebungen und Build‑Pipelines.

Kurz gesagt: Die Vertrauenskette innerhalb moderner Softwareentwicklung wird selbst zum Angriffsziel.

Wichtige Sicherheitslehren aus dem Vorfall

Der GitHub‑Hack unterstreicht mehrere Best Practices für Unternehmen, die stark auf Entwickler‑Tools angewiesen sind:

• Marketplace‑Extensions nur eingeschränkt zulassen oder per Allow‑List freigeben
• Entwickler‑Endpoints kontinuierlich überwachen
• Zugriffsrechte auf Repositories nach dem Prinzip der minimalen Rechte vergeben
• Tokens und Zugangsdaten regelmäßig rotieren
• automatisches Secret‑Scanning und Dependency‑Security einsetzen

Entwickler‑Rechner haben oft direkten Zugriff auf Code‑Repositories, Build‑Systeme und sensible Schlüssel. Wird ein solches Gerät kompromittiert, kann der Angriff schnell tief in die Infrastruktur eines Unternehmens vordringen.

Das größere Bild

Der Vorfall bei GitHub verdeutlicht, dass die Sicherheit moderner Software nicht nur von Servern abhängt, sondern auch von den Werkzeugen, die Entwickler täglich nutzen.

Mit der zunehmenden Zahl von Supply‑Chain‑Angriffen und manipulierten Erweiterungen werden selbst vertraute Komponenten der Entwicklungsumgebung zu potenziellen Einstiegspunkten für Cyberangriffe. Auch wenn GitHub derzeit keine Auswirkungen auf Kundendaten sieht, zeigt der Vorfall, wie eine einzige kompromittierte Erweiterung Zugang zu kritischen internen Systemen eröffnen kann – und warum die Absicherung der Entwickler‑Ökosysteme heute zu den wichtigsten Aufgaben der IT‑Sicherheit gehört.