HackerangriffeSchwachstellenCyberkriminalität

GitHub bestätigt Datenpanne: 4.000 interne Repositories gestohlen

Von CyberDeutsch Redaktion
GitHub bestätigt Datenpanne: 4.000 interne Repositories gestohlen
Zusammenfassung

GitHub bestätigte heute einen massiven Sicherheitsverstoß, bei dem die Bedrohungsgruppe TeamPCP etwa 4.000 interne Repositories mit privatem Quellcode und Organisationsdaten gestohlen hat. Der Angriff erfolgte über eine manipulierte Visual Studio Code-Erweiterung, die auf einem GitHub-Mitarbeitergerät installiert wurde. Das Unternehmen reagierte schnell, isolierte das betroffene System und rotierte kritische Zugangsdaten. Dieser Vorfall unterstreicht ein grundlegendes Sicherheitsproblem: VS Code-Erweiterungen werden mit vollständigen Berechtigungen des Editors ausgeführt und haben Zugriff auf Dateisysteme, Anmeldedaten und Cloud-Schlüssel von Entwicklern. Für deutsche Unternehmen und Behörden hat dieser Vorfall erhebliche Implikationen, da viele auf GitHub gehostete Open-Source-Projekte und interne Repositories nutzen. Die Kompromittierung könnte potenziell dazu führen, dass sensible Quellcodes, Konfigurationen und Sicherheitsinformationen deutscher Organisationen offengelegt werden. Darüber hinaus zeigt der Angriff die Vulnerabilität des Open-Source-Ökosystems und die Risiken bei der Verwendung von Drittanbieter-Entwicklungstools, was für deutsche Tech-Unternehmen und Softwareentwickler zu erheblichen Sicherheitsbedenken führt.

GitHub hat am gestrigen Tag die Sicherheitsverletzung teilweise bestätigt, nachdem TeamPCP zunächst auf einem Dark-Web-Forum von dem Diebstahl von etwa 3.800 bis 4.000 privaten Code-Repositories geprahlt hatte. Der Angreifer kündigte an, die Daten zu verkaufen – betonte aber auch, dass bei Nichtverkauf die Daten kostenlos veröffentlicht würden.

Nach Angaben des Microsoft-Konzerns, der GitHub 2018 übernommen hat, gelang der Zugang über einen vergifteten VS-Code-Extension auf einem Mitarbeiter-Gerät. GitHub reagierte schnell: Die schädliche Extension wurde entfernt, das betroffene Gerät isoliert und ein Incident-Response-Prozess eingeleitet. Das Unternehmen bestätigte, dass kritische Secrets und Anmeldedaten sofort rotiert wurden, die Zahlen zu den gestohlenen Repositories stimmten aber überein – ein Zeichen für die Ernsthaftigkeit des Vorfalls.

TeamPCP ist keine unbekannte Gruppe: Sie steht hinter dem Shai-Hulud-Wurm, der seit über einem Jahr das Open-Source-Ökosystem bedroht. Die Gruppe verbreitet ihre Malware systematisch über verschiedene Angriffsvektoren – von Credential-Diebstahl bis hin zur Typosquatting von populären Tools.

Die Compromittierung durch VS-Code-Extensions ist ein strukturelles Problem. Sicherheitsexperten warnen, dass Extensions mit denselben Privilegien wie der Editor selbst laufen und vollständigen Zugriff auf Dateisystem, Credentials, SSH-Schlüssel und Umgebungsvariablen des Entwicklers haben – ohne tiefergehende Verifizierung vor der Ausführung.

Roy Akerman, Cloud- und Identity-Security-Chef bei Silverfort, spricht von einem „grundlegend fehlerhaften” Vertrauensmodell rund um Entwickler-Tools. Das Bemerkenswerte: TeamPCP nutzte Githubs eigene Infrastruktur als Waffe – von der manipulierten Extension bis zur Verbreitung über vertraute Release-Workflows.

Für deutsche Unternehmen und Behörden, die auf GitHub und Open-Source-Software angewiesen sind, stellt dies ein erhebliches Risiko dar. Das BSI könnte verstärkt auf solche Supply-Chain-Angriffe reagieren müssen, zumal die Auswirkungen auf kritische Software-Lieferketten erheblich sind.

Ähnliche Artikel