GitHub bestätigt Sicherheitsvorfall bei 3.800 Repos durch vergiftete VS Code-Erweiterung

Von

Shweta Chakrawarty

May 20th, 2026Aktualisiert about 1 hour ago

GitHub isoliert interne Systeme; die Bedrohungsgruppe TeamPCP zielt auf ein Mitarbeitergerät über eine vergiftete VS Code-Erweiterung ab, um auf 3.800 Repos zuzugreifen.

GitHub bestätigt Sicherheitsvorfall bei 3.800 Repos durch vergiftete VS Code-Erweiterung

Kurzzusammenfassung

Zusammenfassung ist KI-generiert, von der Redaktion überprüft.

Eine bösartige VS Code-Erweiterung kompromittierte einen Mitarbeiter-Endpunkt, um auf etwa 3.800 private interne Repositories zuzugreifen.
Die Bedrohungsgruppe TeamPCP übernahm die Verantwortung für die Exfiltration in Cyberkriminalitätsforen und bot die Daten für 50.000 USD an.
GitHub bestätigte, dass es keine Hinweise auf eine Offenlegung oder sekundäre Auswirkungen auf Kundendaten oder Unternehmenskonten gibt.
Sicherheitsteams fordern Softwareentwickler auf, alle aktiven API-Schlüssel und Geheimnisse, die in privaten Code-Repositories gespeichert sind, zu drehen.

GitHub hat mit einem ernsthaften internen Sicherheitsvorfall zu kämpfen. Das Unternehmen bestätigte am 20. Mai 2026, dass Hacker ein Gerät eines Mitarbeiters über eine vergiftete VS Code-Erweiterung kompromittiert haben. Sie erlangten unbefugten Zugang zu etwa 3.800 internen Repositories.

1/ Wir teilen zusätzliche Details zu unserer Untersuchung über unbefugten Zugriff auf die internen Repositories von GitHub.
Gestern haben wir einen Kompromiss eines Mitarbeitergeräts festgestellt und eingedämmt, der eine vergiftete VS Code-Erweiterung betraf. Wir haben die bösartige Erweiterungs-Version entfernt,…
— GitHub (@github) 20. Mai 2026

GitHub handelte schnell, isolierte das Gerät, entfernte die bösartige Erweiterung und drehte kritische Anmeldedaten innerhalb weniger Stunden nach der Entdeckung. Wichtig ist, dass das Unternehmen angibt, dass derzeit keine Hinweise auf Auswirkungen auf Kundendaten, Unternehmenskonten oder Benutzer-Repositories vorliegen. Die Nachrichten von GitHub sind eine klare Erinnerung für jeden Entwickler, der API-Schlüssel in privaten Repos gespeichert hat.

Wie der Angriff geschah

Der Angriffsvektor war täuschend einfach. Ein Bedrohungsakteur hat Malware in eine VS Code-Erweiterung eingebettet. Ein GitHub-Mitarbeiter installierte die vergiftete Version. Von dort aus erlangte der Angreifer Zugang zum Gerät des Mitarbeiters und begann, Daten aus internen Repositories zu exfiltrieren.

GitHub bestätigte den Zeitrahmen direkt in einem öffentlichen Thread. „Gestern haben wir einen Kompromiss eines Mitarbeitergeräts festgestellt und eingedämmt, der eine vergiftete VS Code-Erweiterung betraf“, erklärte das Unternehmen. „Wir haben die bösartige Erweiterungs-Version entfernt, den Endpunkt isoliert und sofort mit der Incident-Response begonnen.“

Die Bedrohungsgruppe TeamPCP hat inzwischen die Verantwortung in Untergrund-Foren für Cyberkriminalität übernommen. Die Gruppe behauptet, Daten aus etwa 4.000 privaten Repositories erlangt zu haben. Dazu gehören proprietärer Quellcode der Plattform und interne Organisationsdateien, und sie versucht angeblich, den Datensatz für über 50.000 USD zu verkaufen. GitHub hat festgestellt, dass die Behauptung des Angreifers über etwa 3.800 Repositories „in Richtung konsistent“ mit den bisherigen Untersuchungsergebnissen ist.

Die Reaktion von GitHub

Die Reaktion auf den Sicherheitsvorfall erfolgte gleichzeitig auf mehreren Fronten. GitHub drehte kritische Geheimnisse am selben Tag wie die Entdeckung und priorisierte zuerst die am stärksten betroffenen Anmeldedaten. Das Sicherheitsteam isolierte sofort den betroffenen Endpunkt. Analysten überprüfen kontinuierlich Protokolle auf nachfolgende Aktivitäten. Darüber hinaus wurde die bösartige Version der VS Code-Erweiterung aus dem Verkehr gezogen. GitHub hat sich verpflichtet, einen umfassenderen Bericht zu veröffentlichen, sobald die Untersuchung abgeschlossen ist. Sie haben versprochen, die Kunden über die etablierten Incident-Response-Kanäle zu benachrichtigen, falls Auswirkungen auf Kunden festgestellt werden.

Reaktionen aus der Branche

Die breitere Entwicklergemeinschaft reagierte schnell. Binance-Gründer CZ gab seinen Zuhörern einen direkten Rat. „Wenn Sie API-Schlüssel in Ihrem Code haben, selbst in privaten Repos, ist jetzt der Zeitpunkt, um sie zu überprüfen und zu ändern“, postete er und verstärkte die Nachrichten über den Sicherheitsvorfall von GitHub für Millionen von Entwicklern weltweit. Dieser Rat ist nicht vorsorglich. Er ist dringend. Entwickler speichern häufig API-Schlüssel, Authentifizierungstoken und Dienstanmeldedaten in privaten Repositories und gehen davon aus, dass sie vor einer Offenlegung sicher sind.

Das größere Bild für Entwickler

Nachrichten über Sicherheitsvorfälle in diesem Ausmaß von GitHub haben weitreichende Auswirkungen. Dies liegt daran, dass GitHub über 100 Millionen Repositories hostet und die primäre Code-Infrastruktur für das globale Entwickler-Ökosystem darstellt. Folglich zeigt ein Vorfall, der auf interne Repositories abzielt, selbst ohne die Offenlegung von Kundendaten, die massive Angriffsfläche, die Bedrohungen der Lieferkette darstellen.

Für Entwickler sind drei sofortige Maßnahmen wichtig. Erstens, drehen Sie alle API-Schlüssel, die in Repositories gespeichert sind, egal ob privat oder öffentlich. Zweitens, überprüfen Sie die Erweiterungsliste in VS Code und entfernen Sie alles Unverifiziertes. Schließlich aktivieren Sie das Scannen von Repository-Geheimnissen, um exponierte Anmeldedaten automatisch zu erfassen. Obwohl die Untersuchung noch läuft, war die Transparenz von GitHub während des gesamten Prozesses bemerkenswert. Der umfassendere Bericht, wenn veröffentlicht, wird eine wichtige Lektüre für jedes Sicherheitsteam in der Technik sein.