GitHub hat bestätigt, dass etwa 3.800 interne Repositories bei einer Sicherheitsverletzung im Zusammenhang mit einer bösartigen Visual Studio Code-Erweiterung auf dem Gerät eines Mitarbeiters zugegriffen wurden.
Die Microsoft-eigene Entwicklungsplattform gab an, den Vorfall erkannt und eingedämmt zu haben, nachdem sie einen kompromittierten Endpunkt identifiziert hatte, der mit einer vergifteten VS Code-Erweiterung verknüpft war. GitHub entfernte die bösartige Erweiterung aus dem Marktplatz, isolierte das betroffene Gerät und startete eine interne Incident-Response-Untersuchung.
Laut aktueller Einschätzung des Unternehmens betraf der Angriff lediglich unbefugten Zugriff auf die internen GitHub-Repositories. GitHub erklärte, dass es keine Hinweise darauf gibt, dass Kunden-Repositories, Unternehmensumgebungen oder öffentliche Projekte von der Panne betroffen waren.
Der Vorfall wurde öffentlich, nachdem Bedrohungsakteure online behaupteten, sie hätten GitHub-Quellcode und sensible interne Daten gestohlen. Die Angreifer behaupteten Berichten zufolge, Zugang zu fast 4.000 Repositories erhalten zu haben und versucht zu haben, die gestohlenen Informationen in Untergrundforen zu verkaufen. GitHub sagte, die Behauptungen der Angreifer bezüglich des Repository-Volumens seien “richtungsbezogen übereinstimmend” mit der bisherigen Untersuchung des Unternehmens.
Der Sicherheitsvorstoß hat erneut Bedenken hinsichtlich Angriffen in der Software-Lieferkette auf Entwicklertools und -erweiterungen ausgelöst. Visual Studio Code-Erweiterungen sind zunehmend zum Ziel von Cyberkriminellen geworden, da sie direkten Zugriff auf Entwicklungsumgebungen, Authentifizierungstoken, interne Repositorien und CI/CD-Infrastruktur bieten können.
Sicherheitsforscher warnen seit Jahren, dass bösartige oder trojanisierte Erweiterungen das Vertrauen der Entwickler missbrauchen können, um beliebigen Code in Entwicklungsumgebungen auszuführen. In den letzten Monaten wurden mehrere Kampagnen mit gefälschten oder kompromittierten VS Code-Erweiterungen mit Credential-Diebstahl, der Auslieferung von Malware und Repository-Kompromittierungen in Verbindung gebracht.
GitHub hat den Namen der bösartigen Erweiterung, die an dem Vorfall beteiligt war, nicht öffentlich bekannt gegeben. Das Unternehmen hat außerdem nicht bestätigt, ob während des Datenbruchs proprietärer Quellcode, Zugangsdaten oder sicherheitsrelevante Vermögenswerte offengelegt wurden.