GitHub wurde Opfer eines Datendiebstahls. Nachdem die Hackergruppe TeamPCP behauptete, Zugriff auf rund 4.000 private Repositories zu haben, bestätigte GitHub den Sicherheitsvorfall nun. Nach aktueller Einschätzung des Unternehmens wurden ausschließlich GitHub-interne Repositories exfiltriert.
Ausgangspunkt war laut GitHub ein kompromittiertes Mitarbeitergerät, auf dem eine bösartige Version einer VS-Code-Erweiterung installiert wurde. Nach Informationen von BleepingComputer handelte es sich dabei um Nx Console.
Die Erweiterung unterstützt Entwickler beim Arbeiten mit großen Repositories und Multi-Projekt-Codebasen, ohne vollständig auf Terminal-Befehle angewiesen zu sein. Die betroffene Version Nx Console 18.95.0 war nach Angaben der Nx-Entwickler lediglich für 18 Minuten auf dem Visual Studio Marketplace und weitere 36 Minuten über OpenVSX verfügbar. Die Erweiterung enthielt eine Payload zum Diebstahl von Zugangsdaten und Secrets, unter anderem für npm, AWS, Kubernetes, GitHub und GCP/Docker. Über entwendete GitHub-Logindaten konnten die Angreifer dann Workflows im Nx-Repository als Contributor ausführen.
Während GitHub verkündete, dass Secrets rotiert wurden und man Logs prüfe, erklärten Nx-Entwickler, dass der Vorfall gemeinsam mit Microsoft untersucht würde. Anzeichen dafür, dass Kundeninformationen abgeflossen sind, gebe es nicht, und Betroffene würden umgehend informiert, sollte das doch der Fall sein.
PRÄVENTION & DETEKTION
Datenlecks gehören heute zu den größten Risiken für mittelständische Unternehmen. Gestohlene Passwörter, kompromittierte E-Mail-Konten oder interne Dokumente tauchen nicht selten im Dark Web auf – meist, lange bevor der betroffene Betrieb überhaupt etwas bemerkt. Genau hier setzt Dark Web Monitoring/ Cyber Threat Intelligence an. Es hilft, Datenmissbrauch frühzeitig zu erkennen und Sicherheitsvorfälle schnell einzudämmen.
Autor: Michael Niers
