SchwachstellenHackerangriffeCyberkriminalität

GitHub bestätigt Hackerangriff durch TeamPCP – Kundendaten bleiben verschont

Von CyberDeutsch Redaktion
GitHub bestätigt Hackerangriff durch TeamPCP – Kundendaten bleiben verschont
Zusammenfassung

Der Softwareentwicklungsplattform GitHub ist es gelungen, einen Cyberangriff der kriminellen Gruppe TeamPCP relativ schnell zu begrenzen, doch der Vorfall offenbart beunruhigende Sicherheitslücken in der digitalen Infrastruktur. Die Hacker verschafften sich Zugang zu Tausenden internen Code-Repositories des Microsoft-eigenen Unternehmens, indem sie eine manipulierte Visual-Studio-Code-Erweiterung zur Kompromittierung eines Mitarbeitergeräts nutzten. Obwohl GitHub versichert, dass keine Kundendaten betroffen sind, unterstreicht dieser Angriff die Gefahr von Supply-Chain-Attacken, die sich durch die gesamte digitale Lieferkette ausbreiten können. TeamPCP, ein international agierendes Cyberkriminellen-Netzwerk, führt seit März eine Serie gezielter Attacken auf Entwicklertools durch – mit Auswirkungen bis auf europäische Behörden. Für deutsche Nutzer, Unternehmen und Behörden ist dieser Angriff besonders relevant, da viele von ihnen GitHub-Services nutzen und deutsche Entwickler in der globalen Open-Source-Community tätig sind. Die Sicherheitsvorfälle verdeutlichen, wie kritisch die kontinuierliche Überwachung und das Management von Zugangsrechten ist, sowie die Notwendigkeit, Mitarbeiter gegen Social-Engineering und Malware-Distributionen zu schützen.

GitHub hat bestätigt, dass die Hackergruppe TeamPCP eine unbefugte Sicherheitslücke in der Plattform ausgenutzt hat. Das Unternehmen machte den Vorfall öffentlich, nachdem die Cyberkriminellen gestohlen Code-Repositories in einem Hacker-Forum zum Verkauf anboten. Die Hacker forderten umgerechnet etwa 50.000 Euro und drohten damit, die Daten kostenlos zu veröffentlichen, falls kein Käufer auftritt – ein klassisches Extorsions-Szenario.

Dem Bericht zufolge gelangten die Angreifer über einen infizierten VS-Code-Extension in das System eines GitHub-Mitarbeiters. Dabei handelt es sich um eine zunehmend beliebte Angriffsvektor-Kategorie: Entwickler-Tools und Browser-Extensions, die scheinbar legitim wirken, aber von Cyberkriminellen kompromittiert worden sind. TeamPCP nutzt diese Methodik gezielt aus.

GitHub betont, dass der Sicherheitsvorfall schnell erkannt und isoliert wurde. Nach Unternehmensangaben waren ausschließlich interne Repositories betroffen – Kundendaten blieben unangetastet. Das Unternehmen rotierte unmittelbar nach Feststellung des Vorfalls kritische Authentifizierungsdaten, wobei besonders sensitive Secrets priorisiert wurden. Die Hackerin-Gruppe behauptete, etwa 3.800 Repositories gestohlen zu haben, was mit GitHubs eigenen Ermittlungsergebnissen übereinstimmt.

Doch der Fall ist in einen größeren Kontext einzuordnen: TeamPCP hat sich seit März als eine der aktivsten Hackergruppen im Bereich der Supply-Chain-Attacken etabliert. Zielscheiben waren unter anderem die Developer-Tools TanStack, Trivy und LiteLLM – allesamt Infrastruktur-Komponenten, auf die tausende Entwickler weltweit vertrauen. Sogar die Europäische Kommission wurde getroffen.

Für deutsche Unternehmen und öffentliche Institutionen ergibt sich daraus eine klare Botschaft: Supply-Chain-Angriffe sind keine Theorie mehr, sondern operative Realität. Wer auf Open-Source-Tools und Repositories angewiesen ist, sollte verstärkt auf Überprüfungs- und Monitoringmechanismen setzen. Das BSI hat bereits mehrfach vor solchen indirekten Angriffsszenarien gewarnt.

GitHub kündigte an, einen ausführlichen Abschlussbericht nach Abschluss der Ermittlungen zu veröffentlichen. Bis dahin bleibt die Frage offen, wie umfassend die Kompromittierung tatsächlich war.

Ähnliche Artikel