Cryptonews

GitHub-Verstoß geht auf manipulierte VS-Code-Erweiterung zurück

Source
CryptoNewsTrend
Published
GitHub-Verstoß geht auf manipulierte VS-Code-Erweiterung zurück

Das Online-Code-Repository-Unternehmen GitHub sagt, ein kürzlicher Verstoß gegen seine internen Daten sei darauf zurückzuführen, dass ein Mitarbeiter eine „vergiftete“ VS-Code-Erweiterung heruntergeladen habe.

Das zu Microsoft gehörende Unternehmen gab in den frühen Morgenstunden erstmals bekannt, dass es einen unbefugten Zugriff auf seine internen Repositorys untersucht.

Seitdem hat GitHub mitgeteilt, dass der Verstoß nur interne GitHub-Repositories betroffen hat.

Es fügte hinzu: „Die aktuellen Behauptungen des Angreifers über etwa 3.800 Repositories stimmen grundsätzlich mit unserer bisherigen Untersuchung überein.“

Bei dem Verstoß handelt es sich um eine bösartige VS-Code-Erweiterung, die vom Microsoft-Marktplatz für VS-Code-Erweiterungen heruntergeladen wurde. VS Code steht für Visual Studio Code und der Marktplatz bietet Code-Editoren verschiedene Tools und Anwendungen zum Herunterladen an.

1/ Wir teilen zusätzliche Details zu unserer Untersuchung des unbefugten Zugriffs auf die internen Repositories von GitHub mit. Gestern haben wir eine Kompromittierung eines Mitarbeitergeräts mit einer manipulierten VS-Code-Erweiterung entdeckt und eingedämmt. Wir haben die bösartige Erweiterungsversion entfernt,…

– GitHub (@github) 20. Mai 2026

GitHub sagte, es werde „einen ausführlicheren Bericht veröffentlichen, sobald die Untersuchung abgeschlossen ist“.

Die Hackergruppe, die behauptet, in die Repositories von GitHub eingedrungen zu sein, ist TeamPCP, das mit dem Supply-Chain-Angriff Mini Shai Halud in Verbindung gebracht wird, der sich auf OpenAI auswirkte, sowie mit einer Reihe anderer Supply-Chain-Angriffe, die auf Entwicklersoftware abzielten.

Die Gruppe verkauft die rund 4.000 privaten Repositories im Hacking-Forum Breached für nicht weniger als 50.000 US-Dollar und betont gleichzeitig, dass sie keine „Low-Ball-Angebote“ akzeptieren wird.

Darin hieß es: „Dies ist kein Lösegeld, es ist uns egal, GitHub zu erpressen.“ Die Daten auf seiner Seite werden angeblich nach dem Verkauf „geschreddert“, und wenn kein Käufer gefunden wird, gibt TeamPCP bekannt, dass es die Daten kostenlos preisgeben wird.

GitHub sagt, es habe „bösartige Erweiterung“ entfernt

GitHub behauptet, es habe „die bösartige Erweiterungsversion entfernt, den Endpunkt isoliert und sofort mit der Reaktion auf den Vorfall begonnen“.

„Kritische Geheimnisse wurden gestern und über Nacht rotiert, wobei die Anmeldeinformationen mit der größten Auswirkung zuerst priorisiert wurden“, sagte das Unternehmen und fügte hinzu, dass es die Situation weiterhin beobachten werde.

Die Reaktion auf den Vorfall war nicht nachsichtig. Benutzer haben auf langjährige Beschwerden gegen ehemalige Microsoft- und GitHub-Führungskräfte hingewiesen, die nach Lösungen für Malware-verseuchte Downloads auf dem VS Code-Erweiterungsmarktplatz gefragt haben.

Können Sie das Problem beheben, wenn Personen Malware auf dem Marktplatz für vscode-Erweiterungen bereitstellen? Ich habe es satt, jede Woche E-Mails an [email protected] zu schicken, um deinen verdammten Marktplatz zu reparieren

— Krakau (@krakovia_evm) 19. Dezember 2024

Diese Beschwerde wurde vor zwei Jahren gegen den ehemaligen CEO von GitHub erhoben.

Changpeng Zhao, ehemaliger CEO von Binance, warnte: „Wenn Ihr Code API-Schlüssel enthält, auch private Repos, ist es jetzt an der Zeit, diese noch einmal zu überprüfen und zu ändern …“

Ryan Carson, CEO des Programmierunternehmens Treehouse, warnte ebenfalls: „Wenn Sie private Repos mit Klartextgeheimnissen oder sensiblen Dokumenten/Architekturen haben, wechseln Sie Ihre Geheimnisse sofort.“

Der Krypto-Sicherheitsexperte Taylor Monahan ergänzte Zhaos Aussage und sagte, dass Sie Ihre API-Schlüssel „aus Ihren Repos“ holen sollten.

„Ihr größtes Risiko besteht nicht darin. Es sind Ihre eigenen Entwickler, die von einer dieser wurmigen Lieferketten getroffen werden und all diese Geheimnisse preisgeben“, sagte Monahan.

Zweites GitHub-Leak innerhalb weniger Tage

Auch das Softwareunternehmen Grafana behauptete Anfang dieser Woche, es habe unbefugten Zugriff auf seine GitHub-Repositories beobachtet.

Es wird behauptet, die Angreifer hätten „unsere Codebasis heruntergeladen“, bevor sie „eine Lösegeldforderung unter Androhung der Offenlegung von Daten“ stellten.

⚠️ Am 16. Mai 2026 bestätigten wir einen gezielten Angriff einer Cyberkriminalitätsgruppe, die sich unbefugten Zugriff auf unsere GitHub-Repositories verschaffte und unsere Codebasis herunterlud. Hier finden Sie das neueste Update zu unseren Untersuchungen. https://t.co/C2btjWDOxu

– Grafana (@grafana) 19. Mai 2026

In diesem Fall behauptet Grafana, dass der Verstoß auch auf den Angriff auf die Lieferkette im Zusammenhang mit der Mini Shai-Hulud-Kampagne zurückzuführen sei.

Darin heißt es: „Wir haben eine Analyse durchgeführt und schnell eine beträchtliche Anzahl von GitHub-Workflow-Tokens rotiert, aber ein verpasstes Token führte dazu, dass die Angreifer Zugriff auf unsere GitHub-Repositories erhielten. Eine anschließende Überprüfung bestätigte, dass ein bestimmter GitHub-Workflow, den wir ursprünglich als nicht betroffen betrachteten, tatsächlich kompromittiert worden war.“

Im Jahr 2024 waren durchgesickerte Passwörter und Site-Codes, die von Binance stammten, monatelang auf GitHub sichtbar, bevor sie schließlich entfernt wurden.

Die Börse sagte, dass die Lecks „schweren finanziellen Schaden“ verursachen könnten und dass das Hochladen ihrer Daten nie genehmigt worden sei.

Protos hat GitHub um einen Kommentar gebeten und wird diesen Artikel aktualisieren, falls wir etwas hören.