Auf den Punkt: GitHub bestätigte eine Sicherheitsverletzung von etwa 3.800 internen Repositorys durch eine bösartige VSCode-Erweiterung. Die Hackergruppe TeamPCP fordert 50.000 Dollar für die gestohlenen Daten. Dies ist nicht der erste Fall von trojanisierten VSCode-Erweiterungen.
GitHub hat einen Sicherheitsverstoß bestätigt, bei dem etwa 3.800 interne Repositorys nach der Installation einer bösartigen Visual Studio Code-Erweiterung durch einen Mitarbeiter kompromittiert wurden. Das Unternehmen hat die Malware inzwischen aus dem Marketplace entfernt und das betroffene Gerät gesichert.
GitHub detektierte den Angriff am Dienstag auf ein Mitarbeitergerät, das eine manipulierte VSCode-Erweiterung installiert hatte. Das Unternehmen handelte schnell: Die bösartige Erweiterung wurde entfernt, der Zugriff auf das Gerät wurde isoliert und die Reaktion auf den Vorfall wurde eingeleitet.
Die Untersuchung deutet darauf hin, dass Angreifer ausschließlich auf GitHub-interne Repositorys zugriffen. Die geltend gemachten rund 3.800 kompromittierten Repositorys stimmen mit Githubs bisherigen Ermittlungen überein. Es gibt keine Anzeichen dafür, dass Kundendaten außerhalb dieser Repositorys betroffen sind.
Die Hackergruppe TeamPCP beanspruchte am Dienstag Zugriff auf etwa 4.000 private Code-Repositorys für sich und forderte mindestens 50.000 Dollar für die gestohlenen Daten. TeamPCP wurde zuvor mit umfangreichen Supply-Chain-Angriffen auf Entwicklerplattformen verbunden, einschließlich GitHub, PyPI und Docker.
VS Code-Erweiterungen sind Plugins, die aus dem offiziellen Marketplace installiert werden können. Dies ist nicht das erste Mal, dass bösartige Erweiterungen im Marketplace auftauchen. In der Vergangenheit wurden mehrere trojinisierte Erweiterungen mit Millionen von Installationen entdeckt, die Entwickleranmeldedaten stahlen oder Kryptominer verteilten.