GitHub Bekrefter Brudd på 3,800 Repos via Forgiftet VS Code Utvidelse

GitHub håndterer et alvorlig internt sikkerhetsbrudd. Selskapet bekreftet 20. mai 2026 at hackere kompromitterte en ansatts enhet ved hjelp av en forgiftet VS Code-utvidelse. De fikk uautorisert tilgang til omtrent 3,800 interne lagre.

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…

— GitHub (@github) May 20, 2026

GitHub handlet raskt, isolerte enheten, fjernet den ondsinnede utvidelsen, og roterte kritiske legitimasjoner innen få timer etter oppdagelsen. Viktig er det at selskapet uttaler at det for øyeblikket ikke er noen bevis for påvirkning på kundedata, bedriftskontoer eller brukerlagre. GitHub-nyheten i dag er en tydelig påminnelse for hver utvikler med API-nøkler lagret i private lagre.

Hvordan Angrepet Skjedde

Angrepsvektoren var bedragersk enkel. En trusselaktør innebygde skadelig programvare i en VS Code-utvidelse. En GitHub-ansatt installerte den forgiftede versjonen. Derfra fikk angriperen tilgang til den ansattes enhet og begynte å eksfiltrere data fra interne lagre.

GitHub bekreftet tidslinjen direkte i en offentlig tråd. «I går oppdaget og inneholdt vi et brudd på en ansatts enhet som involverte en forgiftet VS Code-utvidelse,» uttalte selskapet. «Vi fjernet den ondsinnede utvidelsesversjonen, isolerte endepunktet, og begynte umiddelbart med hendelsesrespons.»

Trusselgruppen TeamPCP har siden påtatt seg ansvaret på undergrunns cyberkriminalitetsfora. Gruppen hevder at den har fått tak i data fra omtrent 4,000 private lagre. Det inkluderer proprietær plattformkildekode og interne organisasjonsfiler, og rapporteres å forsøke å selge datasettet for over $50,000. GitHub vurderte at angriperens påstand om omtrent 3,800 lagre er «retningmessig konsistent» med deres etterforskningsfunn så langt.

GitHubs Respons

Responsen på sikkerhetsbruddet beveget seg på flere fronter samtidig. GitHub roterte kritiske hemmeligheter samme dag som oppdagelsen, og prioriterte de mest påvirkende legitimasjonene først. Sikkerhetsteamet isolerte det berørte endepunktet umiddelbart. Analytikere undersøker kontinuerlig logger for eventuell oppfølgende aktivitet. I tillegg har markedet fjernet den ondsinnede versjonen av VS Code-utvidelsen fra sirkulasjon. GitHub forpliktet seg til å publisere en mer omfattende rapport når etterforskningen er fullført. De lovet å varsle kunder gjennom etablerte hendelsesresponskanaler hvis noen kundepåvirkning oppdages.

Bransjereaksjon

Det bredere utviklerfellesskapet reagerte raskt. Binance grunnlegger CZ ga et direkte råd til sitt publikum. «Hvis du har API-nøkler i koden din, selv i private lagre, er det nå på tide å dobbeltsjekke og endre dem,» postet han, og forsterket GitHubs sikkerhetsbrudd nyheter til millioner av utviklere globalt. Det rådet er ikke bare en forholdsregel. Det er presserende. Utviklere lagrer ofte API-nøkler, autentiseringstokener og tjenestelicitimasjoner inne i private lagre, i antagelse om at de er trygge fra eksponering.

Det Større Bildet for Utviklere

Sikkerhetsbrudd nyheter av denne størrelsen fra GitHub har store implikasjoner. Dette er fordi GitHub huser over 100 millioner lagre og fungerer som den primære kodeinfrastrukturen for det globale utviklerøkosystemet. Følgelig, et brudd som retter seg mot interne lagre, selv uten eksponering av kundedata, avdekker det enorme angrepsflaten som trussler mot forsyningskjeden representerer.

For utviklere er tre umiddelbare handlinger viktige. For det første, roter alle API-nøkler lagret i lagre, enten private eller offentlige. For det andre, revider utvidelseslister i VS Code og fjern alt som ikke er verifisert. Til slutt, aktiver skanning av lagringshemmeligheter for å fange eksponerte legitimasjoner automatisk. Selv om etterforskningen pågår, har GitHubs åpenhet gjennom hele prosessen vært bemerkelsesverdig. Den mer omfattende rapporten, når den publiseres, vil være essensiell lesning for hvert sikkerhetsteam innen teknologi.