Auf den Punkt: Cyberkriminelle der Gruppe TeamPCP nutzten eine infizierte Nx Console VS Code-Erweiterung, um sich Zugang zu GitHubs internen Systemen zu verschaffen. Der Angriff ist verknüpft mit einem größeren NPM-Lieferketten-Anschlag, der auch TanStack, Mistral AI und andere Projekte betroffen hat. TeamPCP fordert mindestens 50.000 Dollar für die gestohlenen Daten.
GitHub bestätigt, dass Hacker über eine manipulierte Version der Nx Console VS Code-Erweiterung in 3.800 interne Repositories eingedrungen sind. Der Angriff wird der Bedrohungsgruppe TeamPCP zugeordnet und ist Teil eines umfassenden Supply-Chain-Anschlags, der ursprünglich bei TanStack-NPM-Paketen begann.
GitHub gab am Dienstag bekannt, dass ein Mitarbeiter unbewusst eine bösartige Visual Studio Code-Erweiterung installiert hatte, was zum Zugriff auf 3.800 interne Repositories führte. Die manipulierte Version von Nx Console, einer offiziellen VS Code Marketplace-Erweiterung zur Verwaltung großer Code-Repositories, war etwa 18 Minuten im VS Code Marketplace und 36 Minuten auf OpenVSX verfügbar, bevor sie entfernt wurde.
Die Schadsoftware war darauf ausgerichtet, Anmeldedaten und Geheimnisse für verschiedene Plattformen wie npm, AWS, Kubernetes, GitHub und GCP/Docker zu stehlen. Die Bedrohungsgruppe TeamPCP, die für mehrere bedeutende Supply-Chain-Anschläge auf Entwicklerplattformen verantwortlich ist, beanspruchte Zugang zu „etwa 4.000 Repositories mit privatem Code“ und fordert mindestens 50.000 Dollar für die Daten.
GitHub CISO Alexis Wales erklärte, dass das Unternehmen kritische Geheimnisse bereits rotiert hat und keine Hinweise auf Diebstahl von Kundendaten außerhalb der betroffenen Repositories gefunden hat. Die Nx-Entwickler bestätigten, dass einer ihrer Entwickler durch die TanStack-Lieferketten-Kompromittierung beeinträchtigt wurde, wodurch GitHub-Anmeldedaten durchgesickert waren.
Der Incident reiht sich in eine Serie von Sicherheitsverletzungen durch bösartige VS Code-Erweiterungen ein, die in den letzten Jahren Millionen von Installationen erreichten und Entwickler-Anmeldedaten stahlen.