(Bild: Sundry Photography/Shutterstock.com). GitHub hat einen Angriff über eine Extension für Visual Studio Code bestätigt. Die erbeuteten Daten stehen offenbar in einem Cybercrime-Forum zum Verkauf.. Angreifer hatten offenbar Zugriff auf interne Repositories von GitHub. Der Betreiber der Versionsverwaltungsplattform hatte zunächst der Plattform Bleeping Computer und später auf X bestätigt, dass das Unternehmen den unautorisierten Zugriff auf Repositories untersuche.. Laut dem Post auf X sind nur interne Repositories betroffen. Es gebe keine Anzeichen dafür, dass dabei Informationen über Kunden abgeflossen sind. Sollte das doch der Fall sein, hat GitHub angekündigt, die Betroffenen direkt über die üblichen Kanäle zu informieren.. Schadcode in einer Extension für Visual Studio Code. Offenbar war das Einfallstor Schadcode in einer Visual Studio Code Extension auf dem Gerät eines Mitarbeiters. GitHub hat den Endpunkt laut eigenen Angaben [1] isoliert und sofort Incident-Response-Maßnahmen eingeleitet.. Immer wieder finden sich infizierte Extensions auch auf den offiziellen Marktplätzen von Microsoft und Eclipse. Ein prominenter Vertreter war GlassWorm im Oktober 2025 [3]. Im Frühjahr 2026 gab es zahlreiche Erweiterungen mit Schadcode [4], die die Urheber vermutlich als Testballons für eine Ransomware-Attacke veröffentlicht haben.. TeamPCP reklamiert den Angriff für sich. TeamPCP hat den Angriff in einem Cybercrime-Forum für sich beansprucht. Die Gruppe soll für zahlreiche jüngere Vorfälle verantwortlich sein, darunter infizierte npm-Pakete von SAP [5] und einen Angriff auf den quelloffenen Security-Scanner Trivy [6]. Außerdem hat TeamPCP jüngst den Quellcode für den npm-Wurm Shai-Hulud [7] veröffentlicht.. TeamPCP versteigert die von GitHub abgegriffenen Daten für mindestens 50.000 US-Dollar. (Bild: Bleeping Computer [8]). Die Angreifergruppe spricht von etwa 4000 Repositories, was sich in etwa mit der in einem späteren X-Beitrag von GitHub [9] gemeldeten Zahl von 3800 Repositories deckt.. TeamPCP versteigert die Daten über das Cybercrime-Forum und erpresst GitHub dabei nur zwischen den Zeilen. Im Text betont die Gruppe dagegen explizit, dass sie kein Lösegeld wolle und GitHub nicht erpressen möchte, sondern die abgegriffenen Daten an den Höchstbietenden verkaufen will. Gebote unter 50.000 US-Dollar nehme sie aber nicht an.. Wenn sich ein Käufer findet, versichert die Gruppe, alle Daten zu löschen. Sollte sich kein Käufer finden, würde sie halt die Daten kostenlos veröffentlichen. Das klingt dann doch ein wenig nach Erpressung.. (rme [10]). URL dieses Artikels:. https://www.heise.de/-11300422. Links in diesem Artikel:. https://x.com/github/status/2056949168208552080. https://www.heise-devsec.de/?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_devsec.empfehlung-ho.link.link&LPID=33786. https://www.heise.de/news/Gefaehrlicher-und-unsichtbarer-Wurm-in-Visual-Studio-Code-Extensions-gefunden-10789320.html. https://www.heise.de/news/Ransomware-Testballon-im-offiziellen-Marktplatz-von-Visual-Studio-Code-entdeckt-10323764.html. https://www.heise.de/news/Boesartige-npm-Pakete-SAP-Software-kompromittiert-11280683.html. https://www.heise.de/news/Supply-Chain-Attacke-auf-LiteLLM-Betroffene-sollen-Credentials-sofort-aendern-11223618.html. https://www.heise.de/news/npm-Wurm-Shai-Hulud-Angriff-der-Klone-11299094.html. https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/. https://x.com/github/status/2056949169701720157. mailto:rme@ix.de. Copyright © 2026 Heise Medien
heise security News