Nach Darstellung von GitHub wurde die Kompromittierung des Mitarbeitergeräts erkannt und eingedämmt, die schädliche Version der Erweiterung entfernt und der betroffene Endpunkt isoliert. Die Vorfallsbehandlung sei sofort eingeleitet worden. Die aktuelle Einschätzung des Unternehmens laute, dass es sich um einen Abfluss ausschließlich GitHub-interner Repositories handle.
Die Hackergruppe TeamPCP beanspruchte im Cybercrime-Forum Breached den Zugriff auf GitHub-Quellcode sowie „rund 4.000 Repositories mit privatem Code" und verlangte mindestens 50.000 US-Dollar für die gestohlenen Daten. In ihrer Mitteilung erklärten die Täter, es gehe ihnen nicht um eine Erpressung GitHubs; sie suchten einen einzigen Käufer und würden die Daten anschließend auf ihrer Seite vernichten. Finde sich kein Käufer, wolle man die Daten kostenlos veröffentlichen. Angebote unter 50.000 US-Dollar seien uninteressant, das beste Angebot erhalte den Zuschlag.
GitHub bezeichnet die von TeamPCP genannte Zahl als grundsätzlich vereinbar mit dem bisherigen Stand der Untersuchung, hat den Angriff aber noch keinem Urheber zugeordnet. TeamPCP wurde zuvor mit umfangreichen Lieferketten-Angriffen auf Plattformen für Entwicklercode in Verbindung gebracht, darunter GitHub, PyPI, NPM und Docker, sowie zuletzt mit der Kampagne „Mini Shai-Hulud", von der auch zwei Mitarbeiter von OpenAI betroffen waren.
VS-Code-Erweiterungen sind Plugins, die sich aus dem VS Code Marketplace – dem offiziellen Store für Microsofts Code-Editor – installieren lassen, um Funktionen zu ergänzen oder Werkzeuge einzubinden. Manipulierte Erweiterungen sind im Marketplace bereits mehrfach aufgetreten: In den vergangenen Jahren wurden Erweiterungen mit Millionen Installationen genutzt, um Entwickler-Zugangsdaten und andere sensible Daten zu stehlen.
So wurden im vergangenen Jahr VS-Code-Erweiterungen mit neun Millionen Installationen wegen Sicherheitsrisiken entfernt; zehn weitere, die sich als legitime Entwicklungswerkzeuge ausgaben, infizierten Nutzer mit dem Kryptominer XMRig. Später im selben Jahr gelangte eine Erweiterung mit einfachen Ransomware-Funktionen in den Marketplace, nachdem ein Akteur namens WhiteCobra ihn mit 24 Krypto-stehlenden Erweiterungen geflutet hatte. Kürzlich exfiltrierten zwei als KI-gestützte Programmierassistenten beworbene Erweiterungen mit 1,5 Millionen Installationen Daten von kompromittierten Entwicklersystemen auf Server in China.
GitHubs cloudbasierte Plattform wird inzwischen von über vier Millionen Organisationen genutzt, darunter 90 Prozent der Fortune-100-Unternehmen, sowie von mehr als 180 Millionen Entwicklern, die zu über 420 Millionen Repositories beitragen.
