GitHub bestätigt Datenpanne bei 3.800 Repositories über vergiftete VS Code-Erweiterung

GitHub kämpft mit einem schwerwiegenden internen Sicherheitsverstoß. Das Unternehmen bestätigte am 20.05.2026, dass Hacker das Gerät eines Mitarbeiters mithilfe einer vergifteten VS Code-Erweiterung kompromittiert haben. Sie erlangten unbefugten Zugriff auf etwa 3.800 interne Repositories. 

GitHub reagierte schnell, isolierte das Gerät, entfernte die schädliche Erweiterung und rotierte kritische Anmeldedaten innerhalb weniger Stunden nach der Entdeckung. Wichtig ist, dass das Unternehmen angibt, es gibt derzeit keine Hinweise auf Auswirkungen auf Kundendaten, Unternehmenskonten oder Benutzer-Repositories. Die aktuellen GitHub-Neuigkeiten sind ein Weckruf für jeden Entwickler, der API Schlüssel in privaten Repos gespeichert hat.

Wie der Angriff ablief

Der Angriffsvektor war täuschend einfach. Ein Bedrohungsakteur bettet Malware in eine VS Code-Erweiterung ein. Ein GitHub-Mitarbeiter installierte die vergiftete Version. Von dort aus verschaffte sich der Angreifer Zugang zum Gerät des Mitarbeiters und begann damit, Daten aus internen Repositories zu exfiltrieren.

GitHub bestätigte den zeitlichen Ablauf direkt in einem öffentlichen Thread. „Gestern haben wir eine Kompromittierung eines Mitarbeitergeräts durch eine vergiftete VS Code-Erweiterung entdeckt und eingedämmt", erklärte das Unternehmen. „Wir haben die schädliche Erweiterungsversion entfernt, den Endpunkt isoliert und sofort mit der Incident Response begonnen."

Die Bedrohungsgruppe TeamPCP hat seitdem in Underground-Cybercrime-Foren die Verantwortung übernommen. Die Gruppe behauptet, Daten aus rund 4.000 privaten Repositories erhalten zu haben. Dazu gehören proprietärer Plattform-Quellcode und interne Organisationsdateien, und es wird berichtet, dass versucht wird, den Datensatz für über 50.000 $ zu verkaufen. GitHub schätzte ein, dass die Behauptung des Angreifers von etwa 3.800 Repositories „in der Tendenz konsistent" mit den bisherigen Untersuchungsergebnissen ist.

GitHubs Reaktion

Die Reaktion auf den Sicherheitsverstoß erfolgte gleichzeitig auf mehreren Fronten. GitHub rotierte kritische Geheimnisse am selben Tag der Entdeckung und priorisierte dabei zunächst die Anmeldedaten mit dem größten Risikopotenzial. Das Sicherheitsteam isolierte den betroffenen Endpunkt sofort. Analysten untersuchen kontinuierlich Protokolle auf jegliche Folgeaktivitäten. Darüber hinaus hat der Marketplace die schädliche VS Code-Erweiterungsversion aus dem Umlauf entfernt. GitHub verpflichtete sich, nach Abschluss der Untersuchung einen umfassenderen Bericht zu veröffentlichen. Sie sagten zu, Kunden über etablierte Incident-Response-Kanäle zu benachrichtigen, falls Auswirkungen auf Kunden festgestellt werden.

Reaktion der Branche

Die breitere Entwickler-Community reagierte schnell. Binance-Gründer CZ gab seinem Publikum eine direkte Empfehlung. „Wenn Sie API Schlüssel in Ihrem Code haben, auch in privaten Repos, ist jetzt der Zeitpunkt, diese zu überprüfen und zu ändern", schrieb er und verbreitete GitHubs Sicherheitsverstoß-Neuigkeiten an Millionen von Entwicklern weltweit. Dieser Rat ist nicht vorbeugend. Er ist dringend. Entwickler speichern häufig API Schlüssel, Authentifizierungs-Token und Dienst-Anmeldedaten in privaten Repositories und gehen davon aus, dass diese vor einer Offenlegung sicher sind.

Das große Bild für Entwickler

Nachrichten über Sicherheitsverstöße dieser Größenordnung von GitHub haben überproportionale Auswirkungen. Dies liegt daran, dass GitHub über 100 Millionen Repositories hostet und als primäre Code-Infrastruktur für das globale Entwickler-Ökosystem dient. Ein Verstoß, der auf interne Repositories abzielt, offenbart folglich die massive Angriffsfläche, die Supply-Chain-Bedrohungen darstellen, selbst ohne Exposition von Kundendaten.

Für Entwickler sind drei sofortige Maßnahmen wichtig. Erstens, rotieren Sie alle API Schlüssel, die in Repositories gespeichert sind, ob privat oder öffentlich. Zweitens, überprüfen Sie Erweiterungslisten in VS Code und entfernen Sie alles Unverifizierte. Aktivieren Sie schließlich das Repository-Secret-Scanning, um offengelegte Anmeldedaten automatisch zu erkennen. Obwohl die Untersuchung noch andauert, war GitHubs Transparenz während des gesamten Vorgangs bemerkenswert. Der umfassendere Bericht wird nach seiner Veröffentlichung eine unverzichtbare Lektüre für jedes Sicherheitsteam in der Tech-Branche sein.

The post GitHub Confirms Breach of 3,800 Repos via Poisoned VS Code Extension  appeared first on Coinfomania.