SchwachstellenHackerangriffeCyberkriminalität

GitHub-Breach durch manipulierte Nx Console Extension: Warnung für deutsche Entwickler

Von CyberDeutsch Redaktion
GitHub-Breach durch manipulierte Nx Console Extension: Warnung für deutsche Entwickler
Zusammenfassung

# Einleitung Eine Sicherheitslücke in einer populären Entwickler-Erweiterung hat es Angreifern ermöglicht, in interne GitHub-Repositories einzudringen und umfangreiche Datenmengen zu exfiltrieren. Die Nx Console-Erweiterung für Visual Studio Code wurde von der Cyberkriminalgruppe TeamPCP kompromittiert, nachdem ein Entwickler des Nx-Teams Opfer des jüngsten TanStack-Lieferkettenangriffsanfalls wurde. Die vergiftete Version der Erweiterung war zwar nur 18 Minuten im Visual Studio Marketplace verfügbar – eine extrem kurze Zeitspanne – reichte aber aus, um gezielt Zugangsdaten aus 1Password-Vaults, GitHub-, npm- und AWS-Konten zu stehlen. GitHub bestätigt, dass etwa 3.800 interne Repositories betroffen waren, versichert aber, dass Kundendaten außerhalb dieser internen Systeme nicht kompromittiert wurden. Der Vorfall zeigt ein kritisches Sicherheitsrisiko in der modernen Softwareentwicklung: Automatische Updates von Erweiterungen können Angreifern direkten Zugang zu tausenden Entwicklersystemen verschaffen. Deutsche Unternehmen und Behörden, die VS-Code-Erweiterungen nutzen, müssen nun ihre Sicherheitsmaßnahmen überprüfen und das Risiko von Lieferkettenangriffen stärker berücksichtigen.

Die Sicherheitsverletzung bei GitHub offenbart ein grundsätzliches Dilemma der modernen Softwareentwicklung: Vertrauen in Tools kann zum größten Risiko werden. Am 18. Mai 2026 erschien eine manipulierte Version der Nx Console Extension für Visual Studio Code im Microsoft Marketplace — und obwohl sie nur 18 Minuten online war, reichte diese kurze Zeitspanne aus, um erheblichen Schaden anzurichten. Die kriminelle Gruppe TeamPCP hatte zuvor einen Entwickler bei Narwhal Technologies, dem Unternehmen hinter nx.dev, gehackt und konnte somit die Extension kompromittieren.

Das Insidious am Angriffsvektor: Die manipulierte Extension funktionierte auf den ersten Blick vollkommen normal. Beim Start führte sie jedoch heimlich einen Shell-Befehl aus, der ein verstecktes Paket von einem manipulierten Commit im offiziellen nrwl/nx GitHub-Repository herunterladete. Sicherheitsforscher Nir Zadok von OX Security erklärte, dass die Schadsoftware als Routine-MCP-Setup-Task getarnt war — perfekt, um Verdacht zu vermeiden. Das Resultat: Ein Credential Stealer, der sensible Daten aus 1Password-Vaults, Anthropic Claude, npm, GitHub und AWS-Konten entwendete.

TeamPCP folgt dabei einem perfiden Schema: Eine Gruppe mit etabliertem Tool hacken, Entwickler-Credentials stehlen, diese zum nächsten Angriff verwenden. Im Fall der Nx Console nutzten Angreifer gestohlene GitHub-Tokens, um letztendlich auch GitHubs interne Repositories zu infiltrieren. Der Konzern bestätigt die Exfiltration von etwa 3.800 Repositories, betont aber, dass Kundendaten außerhalb der internen Infrastruktur unangetastet bleiben. Falls dennoch Kundendaten in Support-Interaktionen betroffen sind, kündigt GitHub entsprechende Benachrichtigungen an.

Ein besonders kritischer Aspekt ist die Auto-Update-Mechanik bei VS Code-Extensions. Sicherheitsforscher Raphael Silva von Aikido Security weist darauf hin: Viele Entwickler aktualisieren ihre Tools nicht manuell — daher ist Auto-Update standardmäßig aktiviert. Das ist praktisch, aber fatal, wenn der Extension-Publisher kompromittiert ist. Es gibt keine Überprüfungs- oder Wartephase zwischen Veröffentlichung und Installation auf Millionen von Entwickler-Maschinen.

Für deutsche Unternehmen und Behörden bedeutet dies eine dringende Handlungsempfehlung: Extension-Updates überprüfen, Zugangsdaten rotieren und Supply-Chain-Sicherheit neu bewerten. Das BSI sollte entsprechende Warnungen aussprechen.

Ähnliche Artikel