Am 20. Mai bestätigte GitHub, dass ein Angreifer durch eine manipulierte VS Code-Erweiterung Zugriff auf etwa 3.800 interne Repositorys erlangt hat. Die Erweiterung war auf einem Gerät eines Mitarbeiters installiert. TeamPCP, eine Bedrohungsgruppe, die von Google als UNC6780 verfolgt wird, hat die Verantwortung für den Angriff übernommen und bietet die gestohlenen Repositorys zum Verkauf an. GitHub hat bestätigt, dass die Angaben von TeamPCP 'in die richtige Richtung' weisen.
Hintergrund des Angriffs
Die Bedrohungsgruppe TeamPCP hat im Laufe des Jahres 2026 bereits mehrere Angriffe auf Open-Source-Sicherheits- und KI-Middleware durchgeführt. Trend Micro, StepSecurity und Snyk haben TeamPCP in mindestens sieben Wellen des Mini-Shai-Hulud-Supply-Chain-Wurms seit März verfolgt.
Auswirkungen des Angriffs
Der Angriff auf GitHub hat nicht isoliert stattgefunden. Am selben Tag wurden auch 639 schädliche npm-Paketversionen mit gefälschten Sigstore-Zertifikaten entdeckt. Außerdem wurde ein VS Code-Extension mit 2,2 Millionen Installationen kompromittiert.
Empfehlungen
Binance-Gründer CZ empfiehlt, alle privaten Repositorys mit plain-text-Geheimnissen oder sensiblen Dokumenten/Architekturen sofort zu aktualisieren. Mike Riemer, CTO von Ivanti, betont, dass gestohlene Anmeldedaten die Recon-Phase verkürzen, die der Ausnutzung von Schwachstellen vorausgeht.
Ausblick
Der Angriff auf GitHub und die damit verbundenenSupply-Chain-Angriffe zeigen, dass die Bedrohungen durch manipulierte Erweiterungen und Pakete weiterhin ein großes Risiko darstellen. Es ist wichtig, dass Entwickler und Unternehmen ihre Sicherheitsmaßnahmen überprüfen und aktualisieren, um solchen Angriffen vorzubeugen.
KI-Zusammenfassung
GitHub, bir çalışanın cihazına yüklenen zehirli bir VS Code uzantısı nedeniyle yaklaşık 3.800 dahili repoyu kaybettiğini doğruladı. Tehdit grubu TeamPCP, bu repoları satışa çıkardı.
