SchwachstellenCyberkriminalitätHackerangriffe

GitHub bestätigt Datenpanne: 3.800 interne Repositories durch manipulierte VS-Code-Extension kompromittiert

Von CyberDeutsch Redaktion
GitHub bestätigt Datenpanne: 3.800 interne Repositories durch manipulierte VS-Code-Extension kompromittiert
Zusammenfassung

Ein massiver Supply-Chain-Angriff auf die Entwicklerplattform GitHub zeigt erneut die Verwundbarkeit der Software-Lieferkette. Die Hackergruppe TeamPCP verschaffte sich Zugang zu etwa 3.800 internen Repositories des Unternehmens, indem sie eine manipulierte Version der beliebten Nx Console-Erweiterung für Visual Studio Code verbreitete. Diese Erweiterung war Bestandteil des größeren TanStack npm-Anschlags vom letzten Woche, bei dem dutzende Softwarepakete kompromittiert wurden. Der Malware-Code war darauf ausgelegt, Anmeldedaten und Geheimnisse von Entwicklern zu stehlen – darunter Zugangstoken für npm, GitHub, AWS und andere kritische Dienste. Für deutsche Unternehmen und Behörden ist dies besonders besorgniserregend, da viele von ihnen GitHub als zentrale Entwicklungsplattform nutzen und ihre Quellcodes dort speichern. Die Attacke unterstreicht das wachsende Risiko von Angriffen auf Developer-Tools und Entwickler-Ökosysteme, die oft mit schwächerer Sicherheitsüberwachung einhergehen als andere kritische Infrastrukturen. GitHub bestätigte, wichtige Zugriffstoken rotiert zu haben, doch die Ermittlungen sind noch nicht abgeschlossen.

Die Attacke enthüllt ein kritisches Sicherheitsrisiko in der Developer-Community: Die manipulierte Nx-Console-Version 18.95.0 war nur kurz im Visual Studio Marketplace (18 Minuten) und auf OpenVSX (36 Minuten) verfügbar, wurde aber in dieser kurzen Zeit heruntergeladen und aktiviert. Nach Angaben von Microsoft und OpenVSX beschränkten sich die direkten Downloads auf 28 beziehungsweise 41 Instanzen, doch die tatsächlichen Aktivierungen erreichten etwa 6.000 – ein Hinweis darauf, dass die Extension über Abhängigkeitsketten verbreitet wurde.

Die bösartige Extension fungierte als Credential-Stealer und zielte gezielt auf Entwickler-Zugangsdaten ab. Ein Nx-Entwickler wurde über die TanStack-Kompromittierung infiziert, woraufhin seine GitHub-Credentials über die GitHub CLI gestohlen wurden. Mit diesen Anmeldedaten führte TeamPCP Workflows in GitHub-Repositories aus und verschaffte sich dadurch Zugriff auf die internen GitHub-Systeme.

GitHub CISO Alexis Wales bestätigte in einem Blog-Eintrag, dass das Unternehmen sofort reagierte: Kritische Secrets wurden rotiert, die betroffenen Geräte gesichert und Infrastruktur-Logs analysiert. Bislang liegen keine Hinweise vor, dass Kundendaten außerhalb der betroffenen Repositories gestohlen wurden. Allerdings prahlt TeamPCP auf der Breached-Forum-Plattform mit dem Zugriff auf etwa 4.000 private Repositories und fordert mindestens 50.000 Dollar Lösegeld.

Dieser Vorfall reiht sich in eine Serie von Supply-Chain-Angriffen ein: TeamPCP ist für mehrere größere Attacken auf PyPI, NPM, GitHub und Docker verantwortlich und wird auch mit der “Mini-Shai-Hulud”-Kampagne verbunden, die sogar OpenAI-Mitarbeiter traf. Die TanStack-Attacke weitete sich schnell aus und kompromittierte Dutzende Packages von Anbietern wie Mistral AI, UiPath und Guardrails AI durch gestohlene CI/CD-Credentials.

Das BSI warnt kontinuierlich vor derartigen Angriffen auf Developer-Plattformen. Für deutsche Unternehmen ist eine kritische Sicherheitshygiene unerlässlich: Regelmäßige Secret-Rotationen, Zero-Trust-Policies für Extensions und eine Überprüfung von VS-Code-Plugin-Berechtigungen sollten zur Standard-Praxis werden. GitHub verweist auf die Notwendigkeit, Entwickler-Workflows zu sichern und Zugangsrechte strikt zu limitieren.

Ähnliche Artikel