GitHub-Hack: Tausende interne Repositorys durch VS Code gestohlen
Die Entwicklerplattform GitHub hat den Diebstahl von rund 3800 internen Repositorys bestätigt. Auslöser war eine schädliche Erweiterung für Visual Studio Code, die ein Mitarbeiter installierte und die Angreifern Zugriff auf interne Systeme verschaffte.
Nach bisherigem Stand seien keine externen Kundendaten betroffen, teilte GitHub mit. Die kompromittierte Erweiterung wurde aus dem Marktplatz entfernt. Der Angriff ist Teil einer breiteren Kampagne gegen die Software-Lieferkette.
Modulare Software beschleunigt die Entwicklung, erhöht aber die Abhängigkeit von externen Komponenten. Werden verbreitete Pakete im npm-Ökosystem kompromittiert, gelangt Schadcode in zahlreiche nachgelagerte Projekte. Damit wird ein zentraler Vorteil der Entwicklung zum Sicherheitsrisiko.
Die Daten werden verschlüsselt an externe Server übertragen. In betroffenen Repositorys hinterlassen Angreifer häufig die invertierte Zeichenkette niagA oG eW ereH :duluH-iahS ("Shai-Hulud: Here We Go Again"). Entwickler sollten Abhängigkeiten prüfen und Zugangsdaten umgehend erneuern.
Nutzt ihr Visual Studio Code oder npm für eure Projekte? Wie schützt ihr euch vor solchen Supply-Chain-Angriffen im Alltag? Teilt eure Erfahrungen gerne in den Kommentaren!
Download GitHub Desktop - Grafischer Client für GitHub
Siehe auch:
Angriff auf interne GitHub-Daten
Die Hackergruppe TeamPCP bekennt sich zu dem Angriff und bietet die Daten bereits in Untergrundforen zum Verkauf an. Für die Quellcodes fordern die Täter 50.000 US-Dollar (etwa 43.081 Euro).Nach bisherigem Stand seien keine externen Kundendaten betroffen, teilte GitHub mit. Die kompromittierte Erweiterung wurde aus dem Marktplatz entfernt. Der Angriff ist Teil einer breiteren Kampagne gegen die Software-Lieferkette.
Gefahr durch Mini-Shai-Hulud
Wie Microsoft bei X berichtet, untersuchen Experten die als Mini-Shai-Hulud bezeichnete Angriffswelle. Dabei wurden Entwicklerkonten kompromittiert und manipulierte Versionen verbreiteter Bibliotheken veröffentlicht.Über npm-Pakete verbreitete schädliche Dateien werden von Microsoft Defender als "Trojan:AIGen/NPMStealer", "Verdächtiges Verhalten eines Node.js-Prozesses" oder "Versuch, auf Anmeldedaten zuzugreifen" erkannt, wodurch der Diebstahl von Anmeldedaten und die Ausführung schädlicher Code nach der Installation verhindert werden.Betroffen sind unter anderem das Datenvisualisierungs-Ökosystem antv von Alibaba sowie Pakete wie timeago.js mit zusammen mehr als 16 Millionen Downloads pro Woche. Da viele Anwendungen wie WhatsApp, Slack oder Microsoft Teams auf Webtechnologien wie React Native oder Electron basieren, können infizierte Pakete weitreichende Folgen haben.
Modulare Software beschleunigt die Entwicklung, erhöht aber die Abhängigkeit von externen Komponenten. Werden verbreitete Pakete im npm-Ökosystem kompromittiert, gelangt Schadcode in zahlreiche nachgelagerte Projekte. Damit wird ein zentraler Vorteil der Entwicklung zum Sicherheitsrisiko.
Raffinierte Verschleierungstechnik
Die Schadsoftware gelangt meist über stark verschleierte Dateien auf Entwicklerrechner und zielt auf den Diebstahl von Zugangsdaten. Dazu zählen persönliche Tokens für Cloud-Dienste, SSH-Schlüssel sowie Sitzungs- und Konfigurationsdaten.Die Daten werden verschlüsselt an externe Server übertragen. In betroffenen Repositorys hinterlassen Angreifer häufig die invertierte Zeichenkette niagA oG eW ereH :duluH-iahS ("Shai-Hulud: Here We Go Again"). Entwickler sollten Abhängigkeiten prüfen und Zugangsdaten umgehend erneuern.
Nutzt ihr Visual Studio Code oder npm für eure Projekte? Wie schützt ihr euch vor solchen Supply-Chain-Angriffen im Alltag? Teilt eure Erfahrungen gerne in den Kommentaren!
Download GitHub Desktop - Grafischer Client für GitHub
Bin ich von dem Angriff betroffen?
Wenn Sie in Ihren Projekten NPM-Pakete wie @antv, timeago.js oder echarts-for-react nutzen, besteht ein hohes Risiko. Insgesamt sollen über 1.000 Paketversionen manipuliert worden sein, die wöchentlich rund 16 Millionen Downloads verzeichnen.
Auch Entwickler, die mit Python (PyPI) oder PHP (Composer) arbeiten, sollten ihre Abhängigkeiten prüfen. Die Schadsoftware wird meist als verschleierte index.js eingeschleust und zielt direkt auf CI/CD-Umgebungen ab.
Auch Entwickler, die mit Python (PyPI) oder PHP (Composer) arbeiten, sollten ihre Abhängigkeiten prüfen. Die Schadsoftware wird meist als verschleierte index.js eingeschleust und zielt direkt auf CI/CD-Umgebungen ab.
Wie schütze ich meine Projekte?
Prüfen Sie umgehend Ihre Abhängigkeiten und setzen Sie betroffene Pakete auf sichere Versionen von vor dem 18. Mai 2026 zurück. Microsoft Defender erkennt die Bedrohung glücklicherweise als Trojan:AIGen/NPMStealer.
Falls Sie kompromittierte Pakete eingesetzt haben, müssen alle potenziell betroffenen Zugangsdaten sofort erneuert werden. Blockieren Sie zudem ausgehenden Traffic zur Domain t.m-kosche[.]com in Ihrer Firewall.
Falls Sie kompromittierte Pakete eingesetzt haben, müssen alle potenziell betroffenen Zugangsdaten sofort erneuert werden. Blockieren Sie zudem ausgehenden Traffic zur Domain t.m-kosche[.]com in Ihrer Firewall.
Wurde GitHub gehackt?
Ja, GitHub hat einen Vorfall bestätigt. Ein Mitarbeiter hatte eine manipulierte VS Code-Erweiterung installiert. Dadurch konnten Angreifer angeblich rund 3.800 interne Repositories von GitHub kopieren.
Kundendaten oder externe Repositories sind laut offiziellen Angaben nicht betroffen. Die Hackergruppe behauptet jedoch, die gestohlenen internen Daten für 50.000 US-Dollar anzubieten. Weitere Infos liefert oft das GitHub Security-Team.
Kundendaten oder externe Repositories sind laut offiziellen Angaben nicht betroffen. Die Hackergruppe behauptet jedoch, die gestohlenen internen Daten für 50.000 US-Dollar anzubieten. Weitere Infos liefert oft das GitHub Security-Team.
Was ist "Mini Shai-Hulud"?
Unter diesem Namen wird ein massiver "Supply-Chain-Angriff" (Lieferkettenangriff) zusammengefasst. Die Angreifer haben Entwicklerkonten gekapert, um Schadcode in weit verbreitete Software-Bausteine einzuschleusen.
Der Name taucht in über 2.700 von den Angreifern genutzten GitHub-Repositories auf. Dort findet sich oft die rückwärts geschriebene Zeichenkette niagA oG eW ereH :duluH-iahS, was übersetzt "Shai-Hulud: Here We Go Again" bedeutet.
Der Name taucht in über 2.700 von den Angreifern genutzten GitHub-Repositories auf. Dort findet sich oft die rückwärts geschriebene Zeichenkette niagA oG eW ereH :duluH-iahS, was übersetzt "Shai-Hulud: Here We Go Again" bedeutet.
Worauf haben es die Hacker abgesehen?
Das Hauptziel der Schadsoftware ist der Diebstahl von sensiblen Zugangsdaten. Dazu gehören GitHub-Tokens, AWS-Zugänge, SSH-Schlüssel und Tokens für Cloud-Dienste wie Slack oder Stripe.
Mit diesen erbeuteten Schlüsseln versuchen die Angreifer, sich lateral in Firmennetzwerken auszubreiten oder weitere Software-Pakete zu manipulieren. Es handelt sich also um einen gezielten Angriff auf die Infrastruktur von Unternehmen.
Mit diesen erbeuteten Schlüsseln versuchen die Angreifer, sich lateral in Firmennetzwerken auszubreiten oder weitere Software-Pakete zu manipulieren. Es handelt sich also um einen gezielten Angriff auf die Infrastruktur von Unternehmen.
Wer steckt hinter den Angriffen?
Die Angriffe werden der Hackergruppe "TeamPCP" zugerechnet. Diese Gruppe hat sich bereits zu dem Datenleck bei GitHub bekannt und soll in der Vergangenheit auch für Vorfälle bei OpenAI verantwortlich gewesen sein.
TeamPCP scheint sich auf Entwickler-Ökosysteme spezialisiert zu haben. Es heißt, dass sie gezielt Infrastrukturen wie Docker, PyPI und NPM ins Visier nehmen, um maximalen Schaden in der Software-Lieferkette anzurichten.
TeamPCP scheint sich auf Entwickler-Ökosysteme spezialisiert zu haben. Es heißt, dass sie gezielt Infrastrukturen wie Docker, PyPI und NPM ins Visier nehmen, um maximalen Schaden in der Software-Lieferkette anzurichten.
Zusammenfassung
- GitHub bestätigt den Diebstahl von rund 3800 internen Repositorys
- Die Hackergruppe TeamPCP bekennt sich und verkauft die Daten
- Für gestohlene Quellcodes wird ein Lösegeld gefordert
- Die kompromittierte Erweiterung wurde umgehend entfernt
- Sicherheitsforscher untersuchen die Mini-Shai-Hulud-Kampagne
- Betroffen sind Bibliotheken mit Millionen Downloads
- Wenn Hacker npm-Pakete übernehmen, wird Schadcode automatisch verteilt
- Die Schadsoftware tarnt sich als harmlose Datei
- Ziel sind Cloud-Tokens, SSH-Schlüssel, Sitzungsdatenbanken und Konfigurationsdateien
Siehe auch:
Thema:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Cern-Shutdown: Der großen Teilchenbeschleuniger wird umgebaut
- DuckDuckGo-Browser blockiert YouTube-Werbung mit Filterlisten
- Fehlender Kündigungsbutton: Nun auch Telekom-Tochter in der Kritik
- Microsoft korrigiert nervigen Speicherfresser-Bug in Windows 11
- Samsung Galaxy Z Fold 8 (Ultra): Leak zeigt alle neuen Foldables vorab
- GPT-5.6 freigegeben: US-Regierung erlaubt Start der neuen KI
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!