GitHub bestätigt Diebstahl von 3.800 internen Repositories

Hacker erbeuten Firmencode über manipulierte VS-Code-Erweiterung – Daten bereits im Darknet zum Verkauf.

Ein schwerer Sicherheitsvorfall erschüttert die Entwickler-Plattform GitHub. Wie das Unternehmen am Mittwoch bestätigte, gelang es einem Angreifer, rund 3.800 interne Code-Repositories zu stehlen. Die Attacke wurde auf eine manipulierte Visual-Studio-Code-Erweiterung zurückgeführt, die auf einem Mitarbeiter-Rechner installiert war. Die als TeamPCP bekannte Gruppe, von Sicherheitsforschern auch UNC6780 genannt, hat die gestohlenen Daten bereits in Cybercrime-Foren zum Verkauf angeboten – der Einstiegspreis liegt bei umgerechnet rund 46.000 Euro.

Der aktuelle Vorfall bei GitHub zeigt deutlich, wie gezielt Angreifer mittlerweile Schwachstellen in der Unternehmensinfrastruktur ausnutzen. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt Ihnen, wie Sie Ihre IT-Sicherheit auch ohne hohes Budget effektiv stärken können. Gratis-E-Book: IT-Sicherheit proaktiv stärken

„Mini Shai-Hulud": Eine Angriffswelle erschüttert die Branche

Der Einbruch bei GitHub ist kein Einzelfall, sondern Teil einer groß angelegten Kampagne, die Sicherheitsexperten auf den Namen „Mini Shai-Hulud" getauft haben. Bereits am Dienstag manifestierte sich diese Aktivität als massiver Supply-Chain-Wurm, der das AntV-Ökosystem kompromittierte. Innerhalb von nur einer Stunde nutzten die Angreifer ein gekapertes Maintainer-Konto mit Zugriff auf over 500 Pakete, um 639 schädliche Versionen in 323 verschiedenen npm-Paketen zu veröffentlichen. Zu den betroffenen Bibliotheken zählen echarts-for-react und @antv/scale, die zusammen Millionen wöchentlicher Downloads verzeichnen.

Der Angriffsvektor war stets derselbe: Eine manipulierte VS-Code-Erweiterung verschaffte den Tätern Zugang zu Entwickler-Rechnern. Neben dem GitHub-Diebstahl ist die Gruppe auch für die Kompromittierung der Nx Console VS-Code-Erweiterung verantwortlich, einem Tool mit Millionen Installationen. Zudem gelang es den Angreifern, das Python-SDK von Microsoft für „durabletask" auf dem PyPI-Repository zu infiltrieren und drei schädliche Versionen einzuschleusen.

Die technische Analyse der Malware zeigt, dass sie darauf ausgelegt war, Authentifizierungsdaten zu stehlen und Daten in öffentliche GitHub-Repositories zu exfiltrieren. Besonders alarmierend: Die Sicherheitsforscher entdeckten eine „Dead-Man's-Switch"-Funktion im schädlichen Code – ein Hinweis auf potenziell destruktive Absichten, falls der Betrieb der Malware unterbrochen wird.

Microsoft zerschlägt „Fox Tempest"-Infrastruktur

Parallel zu den GitHub-Ermittlungen gelang Microsoft am Mittwoch ein bedeutender Schlag gegen die Cyberkriminalität. Der Konzern gab bekannt, die Operation „Fox Tempest" erfolgreich zerschlagen zu haben. Diese Gruppe betrieb eine Malware-Signing-as-a-Service (MSaaS)-Plattform, die es verschiedenen Ransomware-Gruppen ermöglichte, ihre schädliche Software als legitime, verifizierte Anwendungen zu tarnen.

Durch Missbrauch des Microsoft Artifact Signing-Prozesses generierte Fox Tempest kurzlebige 72-Stunden-Code-Signing-Zertifikate, um Endpunkt-Sicherheitslösungen zu umgehen. Nach einer Klage vor dem US-Bezirksgericht für den Südbezirk von New York schaltete die Digital Crimes Unit (DCU) von Microsoft mehrere Websites ab, darunter die Hauptdomain signspace.cloud. Hunderte virtuelle Maschinen wurden beschlagnahmt, ein zentrales Code-Repository blockiert. Die Operation erfolgte in Koordination mit internationalen Strafverfolgungsbehörden, darunter das FBI und das Europäische Zentrum für Cyberkriminalität (EC3) von Europol.

Phishing und manipulierte E-Mails bleiben neben technischen Exploits eines der größten Einfallstore für Cyberkriminelle in Unternehmen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, mit welchen psychologischen Tricks Hacker arbeiten und wie Sie Ihr Unternehmen in 4 Schritten wirksam schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Fox Tempest stand seit mindestens September 2025 unter Beobachtung. Der Dienst war ein zentraler Wegbereiter für prominente Ransomware-Familien wie Rhysida, Qilin und Akira. Kunden, darunter eine Gruppe namens Vanilla Tempest, zahlten zwischen 4.600 und 8.700 Euro für den Zugang zur Signing-Infrastruktur. Die Plattform generierte Millionenumsätze, indem sie Angriffe auf kritische Sektoren wie Gesundheitswesen, Bildung und Regierungsbehörden in den USA, Frankreich, Indien und China ermöglichte.

Neue Schwachstellen und Plattformrisiken

Die Sicherheitslage verschärfte sich weiter durch die Offenlegung kritischer Schwachstellen in Kerninfrastruktur und Betriebssystemen. Am Mittwoch enthüllten Forscher von Qualys TRU die Schwachstelle CVE-2026-46333 – einen Logikfehler in der ptrace-Funktion des Linux-Kernels. Diese seit Ende 2016 in verschiedenen Formen existierende Lücke erlaubt es einem nicht-privilegierten lokalen Benutzer, Root-Rechte zu erlangen oder vertrauliche Dateien einzusehen. Exploits wurden bereits entwickelt und auf mehreren großen Distributionen getestet, darunter Debian 13, Ubuntu 24.04 und Fedora 44.

Gleichzeitig veröffentlichte Microsoft Abhilfemaßnahmen für eine als CVE-2026-45585 oder „YellowKey" bekannte Zero-Day-Schwachstelle. Diese Lücke erlaubt es einem Angreifer mit physischem Zugriff, die BitLocker-Verschlüsselung über einen speziellen USB-Exploit zu umgehen – selbst auf Systemen mit TPM-plus-PIN-Schutz.

Strategische Neuausrichtung der Sicherheitsmaßnahmen

Als Reaktion auf die Welle von Supply-Chain-Kompromittierungen hat GitHub mehrere strukturelle Änderungen angekündigt. Dazu gehören die Einführung gestaffelter Releases für Software-Updates und der Umstieg auf OpenID Connect (OIDC)-basierte Veröffentlichungen, um die Abhängigkeit von langlebigen Geheimnissen zu reduzieren. Das Unternehmen untersucht zudem die Rolle kompromittierter Mitarbeiter-Geräte und betont die Notwendigkeit strengerer hardwarebasierter Authentifizierung für internen Zugriff.

Auf nationaler Ebene beginnen Regierungen, ihre Verteidigungsfähigkeiten durch cloudbasierte Intelligence-Plattformen zu bündeln. Der bulgarische Systemintegrator hat kürzlich einen Google-Cloud-gestützten „Cybershield" implementiert, um Bedrohungsdaten aus 54 Regierungsbehörden zu konsolidieren. Dieses von der Europäischen Union finanzierte Projekt ist einer der ersten regionalen Versuche, Sicherheitsoperationen zu föderieren und die Reaktionszeiten gegen staatliche und kriminelle Bedrohungen zu verbessern.

Ausblick

Der Einbruch bei GitHub und die anschließende „Mini Shai-Hulud"-Kampagne unterstreichen die Verwundbarkeit der modernen Software-Lieferkette. Während Entwickler-Tools wie VS Code und Paketmanager wie npm zu primären Zielen für Erpressung und Spionage werden, bewegt sich die Branche auf ein Modell der „Zero-Trust"-Entwicklungsumgebungen zu.

Organisationen werden ihren Prüfaufwand für Drittanbieter-Erweiterungen erhöhen und aggressivere Token-Management-Richtlinien einführen müssen. Während die Zerschlagung von Fox Tempest vorübergehende Erleichterung bei der Ransomware-Verbreitung verschafft, könnten die gestohlenen internen Repositories von GitHub den Angreifern neue Erkenntnisse für zukünftige Exploits liefern. Sicherheitsanalysten sehen die größte Herausforderung für den Rest des Jahres darin, die „Identitätsebene" des Entwicklungsprozesses zu sichern, um Single-Point-of-Failure-Kompromittierungen zu verhindern.

de | wissenschaft | 69386363 |