GitHub-Sicherheitsverstoß: CZ warnt Krypto-Entwickler, API-Schlüssel sofort zu rotieren

Inhaltsverzeichnis GitHub hat eine umfassende Sicherheitsuntersuchung eingeleitet, nachdem ein unbefugter Zugriff auf seine internen Code-Repositorys festgestellt wurde. Der Sicherheitsvorfall ging auf eine manipulierte VS-Code-Erweiterung zurück, die in den Arbeitsplatz eines Mitarbeiters eindrang. 1/ Wir teilen zusätzliche Details zu unserer Untersuchung des unbefugten Zugriffs auf die internen Repositories von GitHub mit. Gestern haben wir eine Kompromittierung eines Mitarbeitergeräts mit einer manipulierten VS-Code-Erweiterung entdeckt und eingedämmt. Wir haben die bösartige Erweiterungsversion entfernt,… – GitHub (@github) 20. Mai 2026 Die Microsoft-eigene Plattform hat die Sicherheitsbedrohung am Dienstag identifiziert und neutralisiert. Ihre Reaktion umfasste das Entfernen der bösartigen Erweiterung, die Quarantäne des kompromittierten Systems und die sofortige Einleitung ihres Vorfallreaktionsprotokolls. Der Verstoß führte zu unbefugtem Zugriff auf rund 3.800 interne Code-Repositorys. GitHub hat bestätigt, dass diese Zahl mit Aussagen der Cyberkriminellenorganisation übereinstimmt, die sich zur Verantwortung bekennt. TeamPCP, ein Hacker-Kollektiv, hat sich als Täter dieses Sicherheitsvorfalls gemeldet. Die Gruppe vermarktet die exfiltrierten Daten aktiv in Untergrundforen und behauptet, im Besitz von etwa 4.000 Repositories zu sein, die proprietären Code aus der primären Infrastruktur und internen Abteilungen von GitHub enthalten. Sicherheitsforscher charakterisieren TeamPCP als einen fortschrittlichen Bedrohungsakteur, der umfangreiche Automatisierung einsetzt, um Entwicklerumgebungen ins Visier zu nehmen, mit dem Ziel, wertvolle Anmeldeinformationen für die finanzielle Ausbeutung zu extrahieren. Berichten zufolge fordern sie einen Mindestpreis von 50.000 US-Dollar für die kompromittierten Informationen. Die vorläufige Untersuchung von GitHub ergab keine Hinweise darauf, dass Kundeninformationen, die außerhalb ihrer internen Repositories gespeichert waren, kompromittiert wurden. Die Plattform stellt den Benutzern sicher, dass Kundenrepositorys, Unternehmensinstallationen und Organisationskonten unberührt bleiben. Die Entwicklungsplattform hat bereits kritische Authentifizierungsdaten durchlaufen und sich dabei zunächst auf die sensibelsten Zugriffstoken konzentriert. Ihre Sicherheitsteams prüfen weiterhin die Systemprotokolle und überwachen sorgfältig alle weiteren böswilligen Verhaltensweisen. GitHub hat sich verpflichtet, nach Abschluss der Untersuchung einen umfassenden Obduktionsbericht zu veröffentlichen. Binance-Gründer Changpeng Zhao reagierte umgehend auf die Sicherheitsoffenlegung. Er empfahl Entwicklern von Kryptowährungen nachdrücklich, alle im Quellcode eingebetteten API-Anmeldeinformationen, insbesondere diejenigen in privaten Repositorys, sofort zu löschen. „Wenn Ihr Code API-Schlüssel enthält, auch private Repos, ist es jetzt an der Zeit, diese noch einmal zu überprüfen und zu ändern“, sagte Zhao. Kryptowährungsentwickler verlassen sich beim Aufbau und der Wartung dezentraler Anwendungen und Infrastruktur in hohem Maße auf GitHub. Exchange-API-Anmeldeinformationen, Wallet-Zugriffsschlüssel und Infrastrukturauthentifizierungstoken werden häufig in Repositorys eingebettet, um sie in automatisierten Handelssystemen, Blockchain-Anwendungen und Entwicklungstools bereitzustellen. Cybersicherheitsexperten raten Entwicklern, mithilfe spezieller Tools wie GitHub Secret Scanning, GitLeaks oder Trivy gründliche Scans nach eingebetteten Geheimnissen durchzuführen. Sie empfehlen außerdem dringend eine Abkehr von der Praxis, vertrauliche Anmeldeinformationen direkt in versionierten Repositorys fest zu codieren. Dieser Sicherheitsvorfall folgt eng auf eine separate Kompromittierung bei Grafana Labs, die am Dienstag einen Angriff auf die Lieferkette offenlegte. Bedrohungsakteure drangen in ihre GitHub-Infrastruktur ein und stellten Erpressungsforderungen, denen das Unternehmen jedoch nicht nachkam. Die GitHub-Kompromittierung wurde auch kurz nach der Entdeckung einer schwerwiegenden Sicherheitslücke, CVE-2026-3854, am 28. April bekannt. Dieser spezielle Fehler ermöglichte es authentifizierten Benutzern, nicht autorisierte Befehle auf der Serverinfrastruktur von GitHub auszuführen und möglicherweise Millionen öffentlicher und privater Code-Repositorys zu kompromittieren. GitHub hat erklärt, dass es seine Technologieinfrastruktur kontinuierlich überwachen und während des gesamten Untersuchungsprozesses fortlaufend Updates liefern wird.