Der Angriff zeigt ein bekanntes Muster: Cyberkriminelle nutzen die hohe Reichweite und das Vertrauen in offizielle Marktplätze, um Malware zu verbreiten. GitHub versicherte zwar, dass keine Kundendaten außerhalb der betroffenen Repositories gefährdet seien, doch die bloße Exfiltration von internen GitHub-Quellcode-Repositories ist bereits ein erheblicher Sicherheitsvorfall. Mit über 4 Millionen Organisationen und mehr als 180 Millionen Entwicklern ist GitHub eine zentrale Infrastruktur der globalen Softwareentwicklung — 90 Prozent der Fortune-100-Unternehmen nutzen die Plattform.
Die Hackerkruppe TeamPCP ist kein unbekannter Akteur. Die Gruppe steht unter anderem hinter der “Mini Shai-Hulud” Supply-Chain-Kampagne, die auch Mitarbeiter von OpenAI betraf. Damit erhärtet sich das Bild einer organisierten Cyberkriminellen-Operation, die gezielt auf Entwickler-Infrastruktur abzielt.
VS Code-Erweiterungen stellen ein erhebliches Sicherheitsrisiko dar, da sie tiefe Systemprivilegien benötigen. Dies ist nicht das erste Mal, dass der Marketplace von Microsoft zum Verbreitungskanal für Malware wird. Im vergangenen Jahr wurden Erweiterungen mit 9 Millionen Installationen entfernt, und zehn weitere verteilten den XMRig-Kryptominer. Im Januar dieses Jahres wurden zwei gefälschte KI-Coding-Assistants mit 1,5 Millionen Installationen gelöscht, die Daten auf chinesische Server exfiltrierten.
Für deutsche Unternehmen und Entwickler empfiehlt das BSI, Erweiterungen nur von verifizierten Quellen zu installieren und regelmäßige Sicherheitsaudits durchzuführen. Die DSGVO-Meldepflicht für Datenpannen innerhalb von 72 Stunden zeigt auch, dass solche Vorfälle nicht nur technische, sondern auch rechtliche Konsequenzen haben. GitHub unterliegt zwar nicht unmittelbar der DSGVO in ihrer Vollform, doch europäische Kunden könnten durch den Vorfall betroffen sein — ein Grund mehr für eine transparente Aufarbeitung des Incidents.