GitHub untersucht unbefugten Zugriff auf interne Repositories

GitHub untersucht einen unbefugten Zugriff auf seine internen Repositories, nachdem ein Mitarbeitergerät kompromittiert wurde, wie das Unternehmen am Mittwoch bekannt gab. Die Entwicklerplattform hat die Kompromittierung am Dienstag erkannt und eingedämmt. Dabei ging es um eine vergiftete VS-Code-Erweiterung, die genutzt wurde, um Zugriff zu erlangen. Während GitHub derzeit keine Hinweise auf Auswirkungen auf Kundendaten hat, die außerhalb seiner internen Repositories gespeichert sind, überwacht das Unternehmen seine Infrastruktur engmaschig auf mögliche Folgeaktivitäten.

GitHub ist die wichtigste Plattform für Entwickler weltweit, von denen viele ihre Open-Source-Projekte und Repositories auf den Servern des Unternehmens hosten. Der Vorfall zeigt Schwachstellen in der Lieferkette von Entwicklertools auf, die Angreifer für Credential Harvesting und unbefugten Zugriff ausnutzen.

Incident Response und technische Details

GitHub entfernte die bösartige Erweiterungsversion, isolierte den betroffenen Endpunkt und begann unmittelbar nach der Erkennung mit den Abläufen zur Incident Response. Das Unternehmen erklärte, es untersuche den vollständigen Umfang des unbefugten Zugriffs, um festzustellen, welche internen Repositories betroffen waren.

TeamPCP beansprucht Verantwortung

Eine Hackergruppe namens TeamPCP hat laut Hackmanac die Verantwortung für die Kompromittierung in Underground-Hackerforen übernommen. Die Gruppe habe versucht, GitHub-Daten online zu verkaufen, und behauptet, sie habe „4.000 Repos mit privatem Code“, die mit der Hauptplattform von GitHub und internen Organisationen verbunden seien.

TeamPCP wird laut Security Week als ausgefeilte, stark auf Automatisierung ausgelegte Hackergruppe beschrieben, die kompromittierte Entwickler-Tools in Credential-Harvesting-Maschinen für finanziellen Gewinn verwandelt.

Sicherheits-Hinweise

Der Binance-Gründer Changpeng Zhao riet Entwicklern, ihre Sicherheitspraktiken zu überprüfen: „Wenn ihr API-Keys in eurem Code habt, auch in privaten Repos, dann ist jetzt der Zeitpunkt, sie doppelt zu prüfen und zu ändern.“

Verwandte Vorfälle in der Sicherheit von Entwicklern

Der GitHub-Vorfall ereignete sich am selben Tag, an dem Grafana Labs, ein Open-Source-Unternehmen für Data Observability, bekanntgab, von einem Supply-Chain-Angriff getroffen worden zu sein. Bösartige Akteure griffen auf die GitHub-Repositories von Grafana zu und luden dessen Codebasis herunter. Die Angreifer stellten eine Lösegeldforderung unter Androhung einer Offenlegung von Daten, die Grafana nicht erfüllte.

Der Vorfall folgt auf die öffentliche Offenlegung am 28. April einer kritischen Remote-Code-Execution-Schwachstelle, CVE-2026-3854, die es authentifizierten Nutzern erlaubte, beliebige Befehle auf den GitHub-Servern auszuführen. Wiz Research, das den kritischen Fehler entdeckt hatte, berichtete, dass Millionen öffentlicher und privater Repositories anderer Nutzer und Organisationen auf den betroffenen Knoten zugänglich waren.