Auf den Punkt: GitHub wurde durch eine infizierte IDE-Extension kompromittiert und verlor etwa 3.800 interne Repositories. Die Hackergruppe TeamPCP bietet die Daten zum Verkauf an. Gleichzeitig wurden Microsoft-Python-Pakete durch Malware infiziert, die als Dropper für weitere Schadsoftware fungiert.
GitHub bestätigt eine unbefugte Zugriff auf interne Repositories nach dem Diebstahl von Quellcode durch die Hackergruppe TeamPCP. Die Gruppe bot die gestohlenen Daten für mindestens 50.000 Dollar zum Verkauf an und droht mit einer Veröffentlichung.
GitHub hat am Dienstag mitgeteilt, dass es eine nicht autorisierte Zugriff auf seine internen Repositories untersucht, nachdem die berüchtigte Hackergruppe TeamPCP Quellcode und interne Strukturen auf einem Cybercrime-Forum zum Verkauf angeboten hat. Das Microsoft-eigene Unternehmen betont, dass es derzeit keine Hinweise auf eine Beeinträchtigung von Kundendaten außerhalb der eigenen Repository-Systeme gibt und verspricht, Kunden umgehend zu informieren, sollten sich neue Erkenntnisse ergeben.
Den Erkenntnissen zufolge wurde die Sicherheitsverletzung durch eine infizierte Microsoft Visual Studio Code Extension ausgelöst, die auf einem Mitarbeitergerät installiert war. Die Angreifer gelangten dadurch Zugriff auf etwa 3.800 GitHub-interne Repositories. Das Unternehmen hat daraufhin alle kritischen Zugangsdaten erneuert und die höchsten Prioritäten berücksichtigt.
TeamPCP ist eine kriminelle Gruppe, die für eine Serie von Angriffen auf Open-Source-Pakete bekannt ist. In einer Nachricht behauptete die Gruppe, dies sei kein Erpressungsversuch: „Wir haben kein Interesse an Erpressung von GitHub. Wenn wir einen Käufer finden, löschen wir die Daten, ansonsten veröffentlichen wir sie kostenlos.”
Darüber hinaus hat dieselbe Hackergruppe das Python-Paket „durabletask” von Microsoft kompromittiert. Drei manipulierte Versionen (1.4.1, 1.4.2 und 1.4.3) wurden identifiziert. Die Malware ist eine Weiterentwicklung bisheriger Angriffe und fungiert als sogenannter Dropper, der zusätzliche Schadsoftware von externen Servern herunterlädt und ausführt.