HackerangriffeSchwachstellenCyberkriminalität

GitHub bestätigt Breach von 3.800 internen Repositories durch manipulierte VS-Code-Erweiterung

Von CyberDeutsch Redaktion
GitHub bestätigt Breach von 3.800 internen Repositories durch manipulierte VS-Code-Erweiterung
Zusammenfassung

GitHub steht derzeit im Fokus einer Sicherheitskrise: Die Hackergruppe TeamPCP behauptet, Zugriff auf etwa 4.000 interne Repositories des Unternehmens erlangt zu haben und bietet diese auf dem Darknet-Forum zum Verkauf an – mit einer Mindestforderung von 50.000 US-Dollar. GitHub bestätigte anschließend den Zugriff auf rund 3.800 interne Repositories, nachdem ein Mitarbeiter eine manipulierte Visual Studio Code-Erweiterung installiert hatte. Das Unternehmen versichert bislang, dass Kundendaten außerhalb dieser internen Repositories nicht betroffen seien, überwacht seine Infrastruktur jedoch intensiv auf weitere verdächtige Aktivitäten. Dieser Vorfall ist besorgniserregend, da GitHub mit über 4 Millionen Organisationen – darunter 90 Prozent der Fortune-100-Unternehmen – und 180 Millionen Entwicklern eine zentrale Rolle in der globalen Softwareentwicklung spielt. TeamPCP hat sich bereits durch Anschläge auf PyPI, NPM und Docker als gefährlich erwiesen. Deutsche Unternehmen und Behörden, die GitHub nutzen, sollten ihre Sicherheitsmaßnahmen überprüfen und auf offizielle Updates von GitHub warten, um potenzielle Risiken einzuschätzen.

Der Sicherheitsvorfall bei GitHub offenbart ein klassisches Einfallstor: die menschliche Schwachstelle. Ein Mitarbeiter installierte unwissentlich eine manipulierte VS-Code-Erweiterung, die den Hackern Zugriff auf sensible interne Systeme ermöglichte. Dies ist kein isolierter Vorfall — TeamPCP hat sich bereits einen zweifelhaften Ruf in der Cyberkriminalszene erarbeitet.

Die Hackergruppe ist bekannt für ihre Spezialisierung auf Supply-Chain-Angriffe gegen kritische Entwicklerplattformen. Im März dieses Jahres kompromittierten sie bereits Aqua Securitys Trivy Vulnerability Scanner, was zu kaskadenartigen Kompromittierungen der Docker-Images von Aqua Security und des Checkmarx-KICS-Projekts führte. Die Trivy-Verletzung hatte auch Auswirkungen auf die Open-Source-Python-Bibliothek LiteLLM, wobei zehntausende Geräte mit der “TeamPCP Cloud Stealer”-Malware infiziert wurden.

Die aktuelle GitHub-Attacke ist in diesem Kontext besonders beunruhigend. Mit über 180 Millionen Entwicklern und 420 Millionen Code-Repositories ist GitHub das Rückgrat der modernen Softwareentwicklung. Ein Zugriff auf interne Repositories bedeutet potenziell Zugriff auf Quellcode, Sicherheitsmechanismen und interne Prozesse des Unternehmens selbst.

GitHub versichert, dass Kundenrepositories und externe Kundendaten nicht betroffen sind — eine wichtige Unterscheidung. Allerdings räumt das Unternehmen ein, dass es die Infrastruktur auf “Follow-on Activity” überwacht. Dies deutet darauf hin, dass die Bedrohung noch nicht vollständig eingedämmt sein könnte.

Für deutsche Unternehmen gelten besondere Anforderungen. Die DSGVO verpflichtet Betreiber, Datenschutzverletzungen unverzüglich zu melden. Sollten personenbezogene Daten betroffen sein, drohen Bußgelder bis zu 4 Prozent des Jahresumsatzes. Der Bundesdatenschutzbeauftragte (BfDI) hat bereits mehrmals vor solchen Supply-Chain-Risiken gewarnt.

GitHub kündigte an, alle betroffenen Kunden über etablierte Benachrichtigungskanäle zu informieren, sollten sich neue Erkenntnisse ergeben. Das Unternehmen empfiehlt, keine verdächtigen VS-Code-Erweiterungen zu installieren und Multi-Factor-Authentication zu aktivieren.

Dieser Vorfall zeigt einmal mehr: Selbst bei IT-Sicherheitsunternehmen und großen Tech-Plattformen können gut getarnte Bedrohungen erfolgreich eindringen. Vigilanz und strenge Zertifizierungsprozesse für Plugins sind essentiell.

Ähnliche Artikel