GitHub bestätigt eine bösartige VS-Code-Erweiterung, Invasion und Diebstahl aus rund 3.800 internen Repositories

GitHub hat am 20. Mai auf X ein Update zu seiner Sicherheitsvorfallsuntersuchung veröffentlicht und bestätigt, dass ein Mitarbeitergerät über eine mit bösartigem Code versehene VS Code-Erweiterung angegriffen wurde, was zum Diebstahl von etwa 3.800 internen Repositories führte. GitHub gibt an, es gebe keine Belege dafür, dass Kundendaten außerhalb der internen Code-Repositories von GitHub betroffen waren. GitHub hat die bösartige Erweiterung entfernt, die betroffenen Endgeräte isoliert und die wichtigsten Zugangsdaten rotiert.

Einzelheiten zum Sicherheitsvorfall, die von GitHub bestätigt wurden

Laut der Bestätigung in einem offiziellen X-Beitrag von GitHub gilt:

Betroffener Umfang: Etwa 3.800 interne GitHub-Repositories (Angreifer behaupten eine Anzahl, die mit den Ergebnissen der GitHub-Untersuchung weitgehend übereinstimmt)

Ursache: Kompromittierung des Mitarbeitergeräts

Angriffsweg: VS Code-Erweiterung mit eingebettetem bösartigem Code (Angriff auf die Lieferkette von Entwicklern)

Auswirkung auf Kunden: GitHub bestätigt, dass der Datenaustritt „streng auf Daten innerhalb der internen Code-Repositorys von GitHub beschränkt“ war; es wurden keine Belege gefunden, dass Kundendaten, Unternehmen, Organisationen oder Repositories betroffen waren

Bestätigter Stand zur Bedrohungsakteur-Aktivität

Laut der Offenlegung durch Dark Web Informer: Der Bedrohungsakteur unter dem Pseudonym TeamPCP hatte bereits vor der Veröffentlichung des GitHub-Hinweises im Dark Web Angebotsinformationen zum Verkauf von GitHub-internem Quellcode und Organisationsdaten gepostet. H2S Media berichtet unter Bestätigung, dass TeamPCP und die hinter der Wurm-Malware Shai-Hulud stehende Organisation dieselbe Gruppe ist; diese Malware hat in letzter Zeit in Open-Source-Bibliotheken zu einer weitreichenden Infektion geführt.

Ergriffene bestätigte Gegenmaßnahmen

Laut der Bestätigung in einer offiziellen Erklärung von GitHub gilt:

Abgeschlossen: Entfernung der bösartigen VS Code-Erweiterung, Isolierung der betroffenen Endgeräte, Priorisierte Rotation der am stärksten betroffenen zentralen Zugangsdaten (abgeschlossen am Tag der Entdeckung des Vorfalls und in derselben Nacht)

Laufend: Analyse der Logs, Verifizierung des Zustands der Zugangsdaten-Rotation, Überwachung weiterer Aktivitäten, umfassende Untersuchung und Reaktion auf den Vorfall

Geplant: Veröffentlichung eines vollständigen Berichts nach Abschluss der Untersuchung; falls sich eine weitergehende Auswirkung zeigt, Benachrichtigung der Kunden über die bestehenden Incident-Response-Kanäle

Hintergrund zur Bestätigung kürzlich gemeldeter GitHub-Sicherheitsvorfälle

Laut der von H2S Media bestätigten aktuellen Zeitleiste:

Vor drei Wochen: Wiz-Forscher deckten CVE-2026-3854 auf, eine schwerwiegende Remote-Code-Execution-(RCE)-Schwachstelle, die es einem beliebigen verifizierten Nutzer ermöglicht, über einen einzigen git push-Befehl auf dem GitHub-Backend-Server beliebige Befehle auszuführen

Letzte Woche: Ein GitHub-Repository von SailPoint wurde aufgrund einer Schwachstelle in einer Drittanwendung kompromittiert

17. Mai 2026: Grafana Labs bestätigte, dass ein GitHub-Token geleakt wurde; der Bedrohungsakteur erhielt Zugriff auf ein Repository und versuchte zu erpressen

Häufige Fragen

Hat dieser Einbruch die öffentlichen Repositories von GitHub oder Nutzer-Repositories betroffen?

Laut der offiziellen GitHub-Erklärung war der Datenaustritt „streng auf GitHub-interne Repositories begrenzt“; aktuell gibt es keine Belege dafür, dass Kundendaten, Unternehmen, Organisationen oder Repositories betroffen waren. Kundenorientierte Systeme wurden nicht beeinträchtigt.

Was war der Einstiegspunkt für diesen Angriff, und wie kann man sich schützen?

Laut der Bestätigung durch GitHub ist der Angriffsweg eine VS Code-Erweiterung, die mit bösartigem Code versehen wurde, und damit ein Angriff auf die Lieferkette von Entwicklern. Der Gründer von Binance, CZ, empfiehlt: „API-Schlüssel in privaten Repositories sollten sofort geprüft und ausgetauscht werden.“

Wann wird GitHub den vollständigen Incident-Report veröffentlichen?

Laut der offiziellen GitHub-Erklärung wird der vollständige Bericht nach Abschluss der Untersuchung veröffentlicht, ein konkreter Zeitpunkt wurde jedoch noch nicht bekanntgegeben.