HackerangriffeSupply-Chain-SicherheitSchwachstellen

GitHub-Hack durch manipulierte VS-Code-Erweiterung: 3.800 interne Repositories kompromittiert

Von CyberDeutsch Redaktion
GitHub-Hack durch manipulierte VS-Code-Erweiterung: 3.800 interne Repositories kompromittiert
Zusammenfassung

GitHub ist Opfer einer umfassenden Supply-Chain-Attacke geworden, bei der die Hackergruppe TeamPCP Zugriff auf etwa 3.800 interne Repositories des Microsoft-eigenen Code-Hosting-Dienstes erlangte. Der Angriff erfolgte durch die Installation einer manipulierten Visual-Studio-Code-Erweiterung auf dem Rechner eines GitHub-Mitarbeiters – eine Technik, die sich als zunehmend effektiv gegen Entwickler und Softwareunternehmen erweist. TeamPCP hat sich bereits durch eine Serie von Supply-Chain-Attacken auf bekannte Projekte wie Trivy, Bitwarden CLI und TanStack im Jahr 2026 einen Namen gemacht und bot die gestohlenen Daten für mindestens 50.000 Dollar zum Verkauf an. Für deutsche Unternehmen und Behörden ist dieser Vorfall erheblich relevant, da viele auf GitHub-gehostete Open-Source-Projekte oder die Plattform selbst für ihre Entwicklung nutzen. Der Incident verdeutlicht ein kritisches Sicherheitsrisiko: Entwickler-Workstations sind zum Hauptangriffsziel von Cyberkriminellen geworden, da eine einzige kompromittierte Erweiterung Zugriff auf sensible Credentials, SSH-Schlüssel und Cloud-Authentifizierungsdaten ermöglicht. Dies unterstreicht die dringende Notwendigkeit verstärkter Kontrollen bei Entwickler-Tools und Transparenz über installierte Software in deutschen IT-Organisationen.

Die Sicherheitslücke offenbart ein grundsätzliches Problem in der modernen Softwareentwicklung: Developer-Workstations sind zur Hauptzielscheibe von Cyberkriminellen geworden. Sicherheitsforscher von Aikido Security warnen, dass VS-Code-Erweiterungen Vollzugriff auf alle Daten des Entwickler-Rechners haben – einschließlich Zugangsdaten, SSH-Schlüssel, Cloud-Credentials und sämtlicher anderer Geheimnisse.

TeamPCP hat sich 2026 als besonders aggressiv erwiesen. Die Gruppe hat nicht nur GitHub ins Visier genommen, sondern auch andere kritische Projekte aus dem Open-Source-Ökosystem: Das Sicherheits-Scanning-Tool Trivy, das Code-Analyse-Programm Checkmarx, den Passwort-Manager Bitwarden CLI, das UI-Framework TanStack und weitere. Alle Angriffe verliefen über Manipulationen von Entwicklertools.

GitHub bestätigte die Breaches am Mittwochmorgen, nachdem es der Angriff bereits am Dienstag auf Hackerforen breitgemacht hatte. Das Unternehmen erklärte, dass nur interne GitHub-Repositories betroffen seien – rund 3.800 Stück, wie Sicherheitsanalysen bestätigen. Der Konzern startete sofort eine Untersuchung, rotierte kritische Secrets priorisiert nach Risiko und kündigte einen vollständigen Incident-Report für später an.

Die zentrale Erkenntnis aus diesem Fall lautet: Eine einzige manipulierte Extension auf einer Mitarbeitermachine reichte aus, um Zugang zu Tausenden interner Repositories zu erlangen. Das Problem liegt darin, dass die meisten Security-Teams weiterhin blind sind, wenn es um Extensions, Pakete und deren Veröffentlichungsdatum auf Entwickler-Rechnern geht. Dieses Visibility-Loch ist exakt das Einfallstor, durch das TeamPCP und ähnliche Gruppen operieren.

Für deutsche Organisationen und das BSI ist dies ein weiterer Beweis für die Notwendigkeit, Entwickler-Infrastruktur massiv zu härten: regelmäßige Audits von installierten Tools, strikte Kontrollen bei Extension-Installationen, Netzwerk-Segmentierung für Developer-Workstations und kontinuierliche Überwachung von Zugriffen auf sensitive Repositories. Auch Firmen, die GitHub intern nutzen, sollten ihren Security-Stack überprüfen und sicherstellen, dass ähnliche Angriffsvektoren nicht möglich sind.

Ähnliche Artikel